클라우드용 Defender의 새로운 기능을 보관하려고 하나요?

기본 클라우드용 Defender의 새로운 기능 릴리스 정보 페이지에는 지난 6개월 동안의 업데이트가 포함되어 있고 이 페이지에는 이전 항목이 포함되어 있습니다.

이 페이지에서는 다음에 대한 정보를 제공합니다.

  • 새로운 기능
  • 버그 수정
  • 사용되지 않는 기능

2022년 7월

7월의 업데이트는 다음과 같습니다.

Kubernetes 런타임 보호를 위한 클라우드 네이티브 보안 에이전트의 GA(일반 공급)

Kubernetes 런타임 보호를 위한 클라우드 네이티브 보안 에이전트가 이제 GA(일반 공급)되었음을 알려드리게 되어 기쁩니다!

고객이 애플리케이션을 계속 컨테이너화함에 따라 Kubernetes 클러스터의 프로덕션 배포는 계속해서 증가하고 있습니다. 이러한 성장을 지원하기 위해 컨테이너용 Defender 팀은 클라우드 네이티브 Kubernetes 지향 보안 에이전트를 개발했습니다.

새로운 보안 에이전트는 eBPF 기술을 기반으로 하는 Kubernetes DaemonSet이며 AKS 보안 프로필의 일부로 AKS 클러스터에 완전히 통합됩니다.

보안 에이전트 사용하도록 설정은 자동 프로비저닝, 권장 사항 흐름, AKS RP를 통해 또는 Azure Policy를 사용하여 대규모로 사용할 수 있습니다.

이제 AKS 클러스터에 Defender 프로필을 배포할 수 있습니다.

이번 발표로 런타임 보호 - 위협 감지(워크로드)도 이제 일반 공급됩니다.

컨테이너용 Defender의 사용 가능한 기능에 대해 자세히 알아봅니다.

사용 가능한 모든 경고을 검토할 수도 있습니다.

미리 보기 버전을 사용하는 경우 AKS-AzureDefender 기능 플래그가 더 이상 필요하지 않습니다.

컨테이너용 Defender의 VA에 언어별 패키지 검색에 대한 지원 추가(미리 보기)

컨테이너용 Defender의 VA(취약성 평가)는 OS 패키지 관리자를 통해 배포된 OS 패키지의 취약성을 검색할 수 있습니다. 이제 언어별 패키지에 포함된 VA의 취약성 검색 기능이 확장되었습니다.

이 기능은 미리 보기로 제공되며 Linux 이미지에만 사용할 수 있습니다.

추가로 포함된 언어별 패키지를 모두 보려면 컨테이너용 Defender의 전체 기능 및 가용성 목록을 체크 아웃하세요.

Operations Management Infrastructure 취약성 CVE-2022-29149로부터 보호

OMI(Operations Management Infrastructure)는 온-프레미스 및 클라우드 환경을 한 곳에서 관리하기 위한 클라우드 기반 서비스의 모음입니다. OMI 구성 요소는 온-프레미스 리소스를 배포하고 관리하는 대신 Azure에서 전적으로 호스트됩니다.

OMI 버전 13을 실행하는 Azure HDInsight와 통합된 Log Analytics에는 CVE-2022-29149를 수정하는 패치가 필요합니다. 이 취약성 및 수정 단계의 영향을 받는 리소스를 식별하는 방법에 대한 정보는 Microsoft 보안 업데이트 지침에서 이 취약성에 대한 보고서를 참조하세요.

취약성 평가와 함께 서버용 Defender를 사용하도록 설정한 경우 이 통합 문서를 사용하여 영향을 받는 리소스를 식별할 수 있습니다.

Entra Permissions Management와 통합

클라우드용 Defender는 Azure, AWS 및 GCP의 모든 ID 및 리소스에 대한 권한을 포괄적으로 표시하고 제어하는 CIEM(클라우드 인프라 권한 관리) 솔루션인 Microsoft Entra Permissions Management와 통합되었습니다.

이제 온보딩하는 각 Azure 구독, AWS 계정 및 GCP 프로젝트에 PCI(권한 상승 인덱스) 보기가 표시됩니다.

Entra Permission Management(이전의 Cloudknox)에 대해 자세히 알아보세요.

Key Vault 권장 사항이 "감사"로 변경됨

여기에 나열된 Key Vault 권장 사항에 대한 효과가 "감사"로 변경되었습니다.

권장 사항 이름 권장 사항 ID
Azure Key Vault에 저장된 인증서의 유효 기간이 12개월을 넘어서는 안 됩니다. fc84abc0-eee6-4758-8372-a7681965ca44
Key Vault 비밀에는 만료 날짜가 있어야 함 14257785-9437-97fa-11ae-898cfb24302b
Key Vault 키에는 만료 날짜가 있어야 함 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2

App Service에 대한 API 앱 정책 사용 중단

API 앱을 포함하기 위해 이미 존재하는 해당 정책에 대한 다음 정책은 사용되지 않습니다.

지원 중단 예정 다음으로 변경
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' App Service apps should have 'Client Certificates (Incoming client certificates)' enabled
Ensure that 'Python version' is the latest, if used as a part of the API app App Service apps that use Python should use the latest Python version'
CORS should not allow every resource to access your API App App Service apps should not have CORS configured to allow every resource to access your apps
Managed identity should be used in your API App App Service apps should use managed identity
Remote debugging should be turned off for API Apps App Service apps should have remote debugging turned off
Ensure that 'PHP version' is the latest, if used as a part of the API app App Service apps that use PHP should use the latest 'PHP version'
FTPS only should be required in your API App App Service apps should require FTPS only
Ensure that 'Java version' is the latest, if used as a part of the API app App Service apps that use Java should use the latest 'Java version'
Latest TLS version should be used in your API App App Service apps should use the latest TLS version

2022년 6월

6월의 업데이트는 다음과 같습니다.

Azure Cosmos DB용 Microsoft Defender의 GA(일반 공급)

Azure Cosmos DB용 Microsoft Defender는 이제 GA(일반 공급)되며 SQL(핵심) API 계정 유형을 지원합니다.

GA에 대한 이 새로운 릴리스는 다양한 유형의 SQL 데이터베이스 및 MariaDB를 포함하는 클라우드용 Microsoft Defender 데이터베이스 보호 제품군의 일부입니다. Azure Cosmos DB용 Microsoft Defender는 Azure Cosmos DB 계정의 데이터베이스를 악용하려는 모든 시도를 검색하는 Azure 네이티브 보안 계층입니다.

이 계획을 사용하도록 설정하면 잠재적인 SQL 삽입, 알려진 악의적인 행위자, 의심스러운 액세스 패턴 및 손상된 ID 또는 악의적인 내부자를 통한 데이터베이스의 잠재적 탐색에 대한 경고가 표시됩니다.

잠재적으로 악의적인 활동이 감지되면 보안 경고가 생성됩니다. 이러한 경고는 관련 조사 단계, 수정 작업, 보안 권장 사항과 더불어 의심스러운 활동의 세부 정보를 제공합니다.

Azure Cosmos DB용 Microsoft Defender는 Azure Cosmos DB 서비스에서 생성한 원격 분석 스트림을 지속적으로 분석하고 Microsoft Threat Intelligence 및 동작 모델과 교차하여 의심스러운 활동을 검색합니다. Azure Cosmos DB용 Defender는 Azure Cosmos DB 계정 데이터에 액세스하지 않으며 데이터베이스의 성능에 영향을 주지 않습니다.

Azure Cosmos DB용 Microsoft Defender에 대해 자세히 알아보세요.

Azure Cosmos DB에 대한 지원이 추가됨에 따라 클라우드용 Defender는 이제 클라우드 기반 데이터베이스에 대한 가장 포괄적인 워크로드 보호 제품 중 하나를 제공합니다. 보안 팀 및 데이터베이스 소유자는 이제 중앙 집중식 환경에서 해당 환경의 데이터베이스 보안을 관리할 수 있습니다.

데이터베이스에 대해 보호를 사용하도록 설정하는 방법을 알아봅니다.

AWS 및 GCP 환경용 컴퓨터의 SQL용 Defender의 GA(일반 공급)

클라우드용 Microsoft Defender에서 제공하는 데이터베이스 보호 기능에 AWS 또는 GCP 환경에서 호스트되는 SQL 데이터베이스에 대한 지원이 추가되었습니다.

이제 엔터프라이즈는 SQL용 Defender를 사용하여 Azure, AWS, GCP 및 온-프레미스 컴퓨터에서 호스트되는 전체 데이터 자산을 보호할 수 있습니다.

SQL용 Microsoft Defender는 SQL 서버 및 기본 Windows OS 모두에 대한 보안 권장 사항, 보안 경고, 취약성 평가 결과를 볼 수 있는 통합 다중 클라우드 환경을 제공합니다.

다중 클라우드 온보딩 환경을 사용하여 AWS EC2, RDS Custom for SQL Server 및 GCP 컴퓨팅 엔진에서 실행되는 SQL 서버에 대해 데이터베이스 보호를 사용하도록 설정하고 적용할 수 있습니다. 이러한 플랜 중 하나를 사용하도록 설정하면 구독 내에 존재하는 지원되는 모든 리소스가 보호됩니다. 동일한 구독에서 만들어진 향후 리소스도 보호됩니다.

클라우드용 Microsoft Defender로 AWS 환경GCP 조직을 보호하고 연결하는 방법을 알아보세요.

보안 태세 향상을 위한 보안 권장 사항 구현 추진

오늘날 조직에 대한 위협이 증가함에 따라 확장 중인 워크로드를 보호하기 위해 보안 담당자의 제한이 늘어나고 있습니다. 보안 팀은 보안 정책에 정의된 보호를 구현해야 합니다.

이제 거버넌스 환경이 미리 보기로 제공되므로, 보안 팀은 리소스 소유자에게 보안 수정 권장 사항을 할당하고 수정 일정을 요구할 수 있습니다. 수정 진행 상황에 대한 완전한 투명성을 확보하고 작업이 지연되면 알림을 받을 수 있습니다.

조직이 권장 사항 거버넌스를 사용하여 보안 문제를 해결하도록 추진에서 거버넌스 환경에 대해 자세히 알아보세요.

IP 주소별로 보안 경고 필터링

대부분 공격의 경우 사용자는 공격과 관련된 엔터티의 IP 주소를 기반으로 경고를 추적하려고 합니다. 지금까지 IP는 단일 경고 창의 "관련 엔터티" 섹션에만 표시되었습니다. 이제 보안 경고 창에서 경고를 필터링하여 IP 주소와 관련된 경고를 확인하고 특정 IP 주소를 검색할 수 있습니다.

클라우드용 Defender 경고의 IP 주소 필터 스크린샷.

리소스 그룹별 경고

리소스 그룹별로 필터링, 정렬 및 그룹화할 수 있는 기능이 보안 경고 페이지에 추가되었습니다.

리소스 그룹 열이 경고 그리드에 추가되었습니다.

새로 추가된 리소스 그룹 열의 스크린샷.

특정 리소스 그룹에 대한 모든 경고를 볼 수 있는 새 필터가 추가되었습니다.

새 리소스 그룹 필터를 보여 주는 스크린샷.

이제 리소스 그룹별로 경고를 그룹화하여 각 리소스 그룹에 대한 모든 경고를 볼 수도 있습니다.

리소스 그룹별로 그룹화된 경고를 보는 방법을 보여 주는 스크린샷.

엔드포인트용 Microsoft Defender 통합 솔루션의 자동 프로비저닝

지금까지 MDE(엔드포인트용 Microsoft Defender)와의 통합에는 서버용 Defender Plan 1이 사용하도록 설정된 컴퓨터(Azure 구독 및 다중 클라우드 커넥터) 및 서버용 Defender 플랜 2가 사용하도록 설정된 멀티클라우드 커넥터에 대한 MDE 통합 솔루션의 자동 설치가 포함되었습니다. Azure 구독을 위한 플랜 2는 Linux 컴퓨터와 Windows 2019 및 2022 서버에 대해서만 통합 솔루션을 사용하도록 설정했습니다. Windows 서버 2012R2 및 2016은 Log Analytics 에이전트에 종속된 MDE 레거시 솔루션을 사용했습니다.

이제 Azure 구독 및 다중 클라우드 커넥터 모두에 대해 두 계획의 모든 컴퓨터에서 새로운 통합 솔루션을 사용할 수 있습니다. 2022년 6월 20일 이후에 MDE 통합을 사용하도록 설정한 서버 플랜 2가 있는 Azure 구독의 경우 통합 솔루션은 기본적으로 MDE 통합으로 사용하도록 설정된 서버용 Defender 플랜 2가 있는 모든 머신에 대해 사용하도록 설정되며, 이제 통합 페이지의 전용 단추를 통해 Windows Server 2012R2 및 2016에 대한 통합 솔루션 설치를 사용하도록 설정할 수 있습니다.

서버용 Defender와 MDE 통합에 대해 자세히 알아봅니다.

“API 앱은 HTTPS를 통해서만 액세스할 수 있어야 함” 정책의 사용 중단

정책 API App should only be accessible over HTTPS는 더 이상 사용되지 않습니다. 이 정책은 App Service apps should only be accessible over HTTPS로 이름이 변경된 Web Application should only be accessible over HTTPS 정책으로 대체되었습니다.

Azure App Service에 대한 정책 정의의 자세한 내용은 Azure App Service에 대한 Azure Policy 기본 제공 정의를 참조하세요.

새로운 Key Vault 경고

Key Vault용 Microsoft Defender에서 제공하는 위협 방지 기능을 확장하기 위해 두 가지 새로운 경고를 추가했습니다.

이러한 경고는 액세스 거부된 변칙을 알리고 모든 키 자격 증명 모음에 대해 검색됩니다.

경고(경고 유형) Description MITRE 전술 심각도
비정상적 액세스 거부됨 - 사용자가 대량의 키 자격 증명 모음에 액세스하는 것을 거부했습니다.
(KV_DeniedAccountVolumeAnomaly)
사용자 또는 서비스 주체가 지난 24시간 동안 비정상적으로 많은 양의 키 자격 증명 모음에 대한 액세스를 시도했습니다. 이 비정상적인 액세스 패턴은 합법적인 작업일 수 있습니다. 이 시도는 성공하지 못했지만 키 자격 증명 모음과 그 안에 포함된 비밀에 대한 액세스 권한을 얻으려는 시도로 이어질 수 있습니다. 추가 조사를 권장합니다. 검색 낮음
비정상적 액세스 거부됨 - 비정상적인 사용자 액세스 키 자격 증명 모음 거부됨
(KV_UserAccessDeniedAnomaly)
일반적으로 액세스하지 않는 사용자가 키 자격 증명 모음 액세스를 시도했습니다. 이 비정상적인 액세스 패턴은 합법적인 작업일 수 있습니다. 이 시도는 성공하지 못했지만 키 자격 증명 모음과 그 안에 포함된 비밀에 대한 액세스 권한을 얻으려는 시도로 이어질 수 있습니다. 초기 액세스, 검색 낮음

2022년 5월

5월의 업데이트는 다음과 같습니다.

이제 커넥터 수준에서 서버 계획의 다중 클라우드 설정을 사용할 수 있음

이제 다중 클라우드의 서버용 Defender에 대한 커넥터 수준 설정이 있습니다.

새 커넥터 수준 설정은 구독과 독립적으로 커넥터당 가격 및 자동 프로비저닝 구성에 대한 세분성을 제공합니다.

커넥터 수준(Azure Arc, MDE 및 취약성 평가)에서 사용할 수 있는 모든 자동 프로비저닝 구성 요소는 기본적으로 사용하도록 설정되며, 새 구성은 플랜 1 및 플랜 2 가격 책정 계층을 모두 지원합니다.

UI의 업데이트에는 선택한 가격 책정 계층과 구성된 필수 구성 요소의 반영이 포함됩니다.

서버 계획 다중 클라우드 설정이 있는 기본 계획 페이지의 스크린샷.

다중 클라우드 커넥터가 사용하도록 설정된 자동 프로비저닝 페이지의 스크린샷

취약성 평가 변경

이제 컨테이너용 Defender는 패치할 수 없는 중간 수준 및 낮은 수준의 심각도가 있는 취약성을 표시합니다.

이 업데이트의 일부로 패치를 사용할 수 있는지 여부에 관계없이 심각도가 중간 및 낮은 수준의 취약성이 표시됩니다. 이 업데이트는 가시성을 최대화하지만 제공된 비활성화 규칙을 사용하여 원치 않는 취약성을 필터링할 수 있습니다.

사용 중지 규칙 화면의 스크린샷.

취약성 관리에 대해 자세히 알아보기

이제 AWS EC2 인스턴스에서 VM에 대한 JIT(Just-In-Time) 액세스를 사용할 수 있음(미리 보기)

AWS 계정을 연결할 때 JIT가 인스턴스의 보안 그룹의 네트워크 구성을 자동으로 평가하고 노출된 관리 포트에 대한 보호가 필요한 인스턴스를 권장합니다. 이는 JIT가 Azure에서 작동하는 방식과 비슷합니다. 보호되지 않는 EC2 인스턴스를 온보딩하면 JIT는 관리 포트에 대한 공용 액세스를 차단하고 제한된 시간 프레임에 대한 권한 있는 요청으로만 엽니다.

JIT가 AWS EC2 인스턴스를 보호하는 방법 알아보기

CLI를 사용하여 AKS 클러스터용 Defender 프로필 추가 및 제거

컨테이너용 Defender에서 런타임 보호를 제공하고 노드에서 신호를 수집하려면 Defender 프로필(미리 보기)이 필요합니다. 이제 Azure CLI를 사용하여 AKS 클러스터에 대한 Defender 프로필을 추가하고 제거할 수 있습니다.

참고

이 옵션은 Azure CLI 3.7 이상에 포함되어 있습니다.

2022년 4월

4월의 업데이트는 다음과 같습니다.

새 서버용 Defender 플랜

이제 서버용 Microsoft Defender가 두 가지 증분 플랜으로 제공됩니다.

  • 서버용 Defender 플랜 2(이전의 서버용 Defender)
  • 서버용 Defender 플랜 1은 엔드포인트용 Microsoft Defender만 지원합니다.

서버용 Microsoft Defender 플랜 2는 클라우드 및 온-프레미스 워크로드에 대한 위협과 취약성으로부터 계속 보호해 주지만, 서버용 Microsoft Defender 플랜 1은 기본적으로 통합된 엔드포인트용 Defender에서 제공한 엔드포인트만 보호해 줍니다. 서버용 Defender 플랜에 대해 자세히 알아봅니다.

지금까지 서버용 Defender를 사용해 왔다면 아무 작업도 필요하지 않습니다.

클라우드용 Defender는 Windows Server 2012 R2 및 2016의 엔드포인트용 Defender 통합 에이전트에 대한 점진적인 지원도 시작합니다. 서버용 Defender 플랜 1은 Windows Server 2012 R2 및 2016 워크로드에 새로운 통합 에이전트를 배포합니다.

사용자 지정 권장 사항 재배치

사용자 지정 권장 사항은 사용자가 만든 권장 사항으로, 보안 점수에 영향을 주지 않습니다. 이제 모든 권장 사항 탭에서 사용자 지정 권장 사항을 확인할 수 있습니다.

새 ‘권장 사항 유형’ 필터를 이용해 사용자 지정 권장 사항을 찾습니다.

사용자 지정 보안 이니셔티브 및 정책 만들기에서 자세히 알아봅니다.

Splunk 및 IBM QRadar로 경고를 스트리밍하는 PowerShell 스크립트

Event Hubs 및 기본 제공 커넥터를 사용하여 Splunk 및 IBM QRadar로 보안 경고를 내보내는 것이 좋습니다. 이제 PowerShell 스크립트를 사용하여 구독 또는 테넌트에 대한 보안 경고를 내보내는 데 필요한 Azure 리소스를 설정할 수 있습니다.

PowerShell 스크립트를 다운로드하여 실행하기만 하면 합니다. 몇 가지 환경 세부 정보를 제공하면 스크립트에서 리소스를 구성합니다. 그러면 스크립트가 SIEM 플랫폼에서 통합을 완료하는 데 사용하는 출력을 생성합니다.

자세히 알아보려면 Splunk 및 QRadar에 경고 스트림을 참조하세요.

Azure Cache for Redis 권장 사항이 사용되지 않음

Azure Cache for Redis should reside within a virtual network(미리 보기) 권장 사항이 더 이상 사용되지 않습니다. Microsoft는 Azure Cache for Redis 인스턴스를 보호하기 위한 참고 자료를 변경했습니다. 프라이빗 엔드포인트를 사용해 가상 네트워크 대신 Azure Cache for Redis 인스턴스에 대한 액세스를 제한하는 것이 좋습니다.

중요한 데이터의 노출을 검색하기 위한 스토리지용 Microsoft Defender(미리 보기)의 새로운 경고 변형

스토리지용 Microsoft Defender의 경고는 성공 여부를 불문하고 위협 행위자가 중요한 정보를 유출하기 위해 공개적으로 잘못 구성된 개방형 스토리지 컨테이너를 검사 및 노출하려고 시도하는 경우 사용자에게 알려 줍니다.

잠재적으로 중요한 데이터가 유출될 수 있는 경우 심사/응답 시간을 단축하기 위해 기존 Publicly accessible storage containers have been exposed 경고에 대한 새로운 변형을 릴리스했습니다.

새 경고(Publicly accessible storage containers with potentially sensitive data have been exposed)는 통계상 거의 공개적으로 노출되지 않은 것으로 밝혀진 이름이 포함된 공개적 개방형 스토리지 컨테이너를 발견하게 되면 High 심각도 수준으로 트리거됩니다. 이는 여기에 중요한 정보가 있을 수 있음을 암시합니다.

경고(경고 유형) Description MITRE 전술 심각도
미리 보기 - 잠재적으로 중요한 데이터가 포함된, 공개적으로 액세스할 수 있는 스토리지 컨테이너가 노출됨
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive)
누군가 Azure Storage 계정과 공개 액세스를 허용하는 노출된 컨테이너를 검사했습니다. 하나 이상의 노출된 컨테이너에 중요한 데이터가 포함될 수 있음을 나타내는 이름이 있습니다.

이는 일반적으로 중요한 데이터를 포함할 수 있는, 공개적으로 잘못 구성된 액세스 가능한 스토리지 컨테이너를 검색하는 위협 행위자의 정찰을 나타냅니다.

위협 행위자가 컨테이너를 성공적으로 검색하면 계속해서 데이터를 유출할 수 있습니다.
✔ Azure Blob Storage
✖ Azure Files
✖ Azure Data Lake Storage Gen2
컬렉션 높음

IP 주소 평판으로 보강된 컨테이너 검사 경고 제목

IP 주소의 평판은 검사 활동이 알려진 위협 행위자에게서 비롯된 것인지, 아니면 Tor 네트워크를 사용해 ID를 숨기는 행위자에게서 비롯된 것인지를 나타낼 수 있습니다. 이 두 지표는 모두 악의적인 의도가 있음을 시사합니다. IP 주소의 평판은 Microsoft 위협 인텔리전스에서 제공합니다.

경고 제목에 IP 주소의 평판을 추가하면 행위자의 의도와 위협의 심각도를 신속하게 평가할 수 있습니다.

다음 경고에 포함된 정보는 아래와 같습니다.

  • Publicly accessible storage containers have been exposed

  • Publicly accessible storage containers with potentially sensitive data have been exposed

  • Publicly accessible storage containers have been scanned. No publicly accessible data was discovered

예를 들어 Publicly accessible storage containers have been exposed 경고의 제목에 추가된 정보는 다음과 같습니다.

  • Publicly accessible storage containers have been exposedby a suspicious IP address

  • Publicly accessible storage containers have been exposedby a Tor exit node

스토리지용 Microsoft Defender에 대한 모든 경고는 경고의 관련 엔터티 섹션 아래에 있는 IP 엔터티에 위협 인텔리전스 정보를 계속 포함합니다.

보안 경고와 관련된 활동 로그 보기

보안 경고를 평가하기 위해 수행할 수 있는 작업의 일부로 리소스 컨텍스트 검사에서 관련 플랫폼 로그를 찾아 영향을 받는 리소스에 대한 컨텍스트를 얻을 수 있습니다. 클라우드용 Microsoft Defender는 경고 발생 1일 이내의 플랫폼 로그를 식별합니다.

플랫폼 로그는 보안 위협을 평가하고 식별된 위험을 완화하기 위해 수행할 수 있는 단계를 식별하는 데 도움이 될 수 있습니다.

2022년 3월

3월의 업데이트는 다음과 같습니다.

AWS 및 GCP 환경에 대한 보안 점수의 글로벌 가용성

클라우드용 Microsoft Defender에서 제공하는 클라우드 보안 태세 관리 기능에는 현재 보안 점수 내에 AWS 및 GCP 환경에 대한 지원이 추가되었습니다.

이제 기업은 Azure, AWS, GCP 같은 다양한 환경에서 전반적인 보안 태세를 볼 수 있습니다.

보안 점수 페이지가 보안 태세 대시보드로 바뀌었습니다. 보안 태세 대시보드를 사용하면 모든 환경에 대한 전체 결합 점수를 보거나, 선택한 환경의 조합에 따라 보안 태세를 분석할 수 있습니다.

또한 권장 사항 페이지는 클라우드 환경 선택, 콘텐츠 기반 고급 필터(리소스 그룹, AWS 계정, GCP 프로젝트 등), 저해상도에서 향상된 사용자 인터페이스, 리소스 그래프에서 열린 쿼리 지원 등과 같은 새로운 기능을 제공하도록 다시 디자인되었습니다. 전반적인 보안 태세보안 권장 사항에 대해 자세히 알아볼 수 있습니다.

네트워크 트래픽 데이터 수집 에이전트를 설치하라는 권장 사항을 더 이상 사용하지 않습니다.

로드맵 및 우선 순위의 변경으로 인해 네트워크 트래픽 데이터 수집 에이전트가 필요하지 않게 되었습니다. 다음의 두 가지 권장 사항과 관련 정책은 더 이상 사용되지 않습니다.

권장 Description 심각도
Linux 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 클라우드용 Microsoft Defender에서는 Microsoft Dependency Agent를 사용하여 Azure Virtual Machines에서 네트워크 트래픽 데이터를 수집함으로써 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협 같은 고급 네트워크 보호 기능을 사용할 수 있게 해줍니다. 중간
Windows 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 클라우드용 Microsoft Defender에서는 Microsoft Dependency Agent를 사용하여 Azure Virtual Machines에서 네트워크 트래픽 데이터를 수집함으로써 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협 같은 고급 네트워크 보호 기능을 사용할 수 있게 해줍니다. 중간

컨테이너용 Defender는 이제 Windows 이미지의 취약성을 검사할 수 있습니다(미리 보기)

컨테이너용 Defender의 이미지 검사는 이제 Azure Container Registry에서 호스팅되는 Windows 이미지를 지원합니다. 이 기능은 미리 보기 중에는 무료이며 일반적으로 사용할 수 있게 되면 비용이 발생합니다.

컨테이너용 Microsoft Defender를 사용하여 이미지에서 취약성 검사에서 자세히 알아보세요.

스토리지용 Microsoft Defender(미리 보기)에 대한 새로운 경고

스토리지용 Microsoft Defender에서 제공하는 위협 방지 기능을 확장하기 위해 새로운 미리 보기 경고를 추가했습니다.

공격자는 애플리케이션과 도구를 사용하여 스토리지 계정을 검색하고 액세스합니다. 스토리지용 Microsoft Defender는 이러한 애플리케이션과 도구를 검색하여 사용자가 차단하고 상태를 수정할 수 있도록 합니다.

이 미리 보기 경고를 Access from a suspicious application이라고 합니다. 경고는 Azure Blob Storage 및 ADLS Gen2에만 관련됩니다.

경고(경고 유형) Description MITRE 전술 심각도
미리 보기 - 의심스러운 애플리케이션에서 액세스
(Storage.Blob_SuspiciousApp)
의심스러운 애플리케이션이 인증을 사용하여 스토리지 계정의 컨테이너에 성공적으로 액세스했음을 나타냅니다.
이는 공격자가 계정에 액세스하는 데 필요한 자격 증명을 획득했으며 이를 악용하고 있음을 나타낼 수 있습니다. 이는 조직에서 수행된 침투 테스트의 표시일 수도 있습니다.
적용 대상: Azure Blob Storage, Azure Data Lake Storage Gen2
초기 액세스 중간

경고로 인한 이메일 알림 설정 구성

경고 UI(사용자 인터페이스)에 새 섹션이 추가되어 현재 구독에서 트리거된 경고에 대한 이메일 알림을 받을 사람을 보고 편집할 수 있습니다.

이메일 알림을 구성하는 방법을 보여 주는 새 UI 스크린샷

보안 경고에 대한 이메일 알림 구성 방법에 대해 알아봅니다.

더 이상 사용되지 않는 미리 보기 경고: ARM.MCAS_ActivityFromAnonymousIPAddresses

다음 미리 보기 경고는 더 이상 사용되지 않습니다.

경고 이름 Description
미리 보기 - 위험한 IP 주소에서 활동 발생
(ARM.MCAS_ActivityFromAnonymousIPAddresses)
익명 프록시 IP 주소로 식별된 IP 주소에서 사용자 활동이 감지되었습니다.
이 프록시는 해당 장치의 IP 주소를 숨기려는 사용자가 사용하며 악의적인 의도로 사용될 수 있습니다. 이 감지는 조직의 다른 사용자가 널리 사용하는 태그가 잘못 지정된 IP 주소와 같은 가양성을 줄이는 기계 학습 알고리즘을 이용합니다.
활성 클라우드용 Microsoft Defender 앱 라이선스가 필요합니다.

이 정보를 제공하고 이에 추가하는 새 경고가 만들어졌습니다. 또한 최신 경고(ARM_OperationFromSuspiciousIP, ARM_OperationFromSuspiciousProxyIP)에는 Microsoft Defender for Cloud Apps(이전의 Microsoft Cloud App Security)에 대한 라이선스가 필요하지 않습니다.

Resource Manager에 대한 추가 경고를 참조하세요.

컨테이너 보안 구성의 취약성을 보안 점수에서 모범 사례로 수정하라는 권장 사항을 이동했습니다.

권장 사항 Vulnerabilities in container security configurations should be remediated가 보안 점수 섹션에서 모범 사례 섹션으로 이동되었습니다.

현재 사용자 환경은 모든 규정 준수 검사를 통과한 경우에만 점수를 제공합니다. 대부분의 고객은 필요한 모든 확인 사항을 충족하는 데 어려움을 겪습니다. Microsoft는 이 권장 사항에 맞게 개선된 환경을 제공하기 위해 노력하고 있으며, 릴리스되면 권장 사항이 보안 점수로 다시 이동됩니다.

서비스 주체를 사용하여 구독을 보호하라는 권장 사항이 더 이상 사용되지 않음

조직이 구독을 관리하는 데 관리 인증서를 사용하지 않는 추세와 클라우드 서비스(클래식) 배포 모델을 사용 중지한다는 최근 발표에 따라 다음 클라우드용 Defender 권장 사항 및 관련 정책은 더 이상 사용하지 않습니다.

권장 Description 심각도
관리 인증서 대신 서비스 주체를 사용하여 구독을 보호해야 함 관리 인증서를 사용하면 해당 인증서로 인증된 사람은 누구나 연결된 구독을 관리할 수 있습니다. 구독을 보다 안전하게 관리하려면 Resource Manager와 함께 서비스 주체를 사용하여 인증서가 손상되었을 때 영향을 받는 범위를 제한하는 것이 좋습니다. 또한 리소스 관리가 자동화됩니다.
(관련 정책: 관리 인증서 대신 서비스 주체를 사용하여 구독을 보호해야 함)
중간

자세한 정보:

ISO 27001의 레거시 구현이 새 ISO 27001:2013 이니셔티브로 바뀜

ISO 27001의 레거시 구현은 클라우드용 Defender의 규정 준수 대시보드에서 제거되었습니다. 클라우드용 Defender에 대한 ISO 27001 준수를 추적하는 경우 모든 관련 관리 그룹 또는 구독에 대한 새로운 ISO 27001:2013 표준을 온보딩합니다.

ISO 27001의 레거시 구현을 제거하는 방법에 대한 메시지를 보여주는 Defender for Cloud의 규정 준수 대시보드.

더 이상 사용되지 않는 Iot용 Microsoft Defender 디바이스 권장 사항

IoT 디바이스 권장 사항용 Microsoft Defender는 클라우드용 Microsoft Defender에서 더 이상 표시되지 않습니다. 이러한 권장 사항은 IoT용 Microsoft Defender의 권장 사항 페이지에서 계속 사용할 수 있습니다.

다음 권장 사항은 더 이상 사용되지 않습니다.

평가 키 권장 사항
1a36f14a-8bd8-45f5-abe5-eef88d76ab5b: IoT 디바이스 디바이스에서 포트 열기
ba975338-f956-41e7-a9f2-7614832d382d: IoT 디바이스 입력 체인 중 하나에서 허용 방화벽 규칙을 찾음
beb62be3-5e78-49bd-ac5f-099250ef3c7c: IoT 디바이스 체인 중 하나에서 허용 방화벽 정책을 찾았습니다.
d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: IoT 디바이스 출력 체인 중 하나에서 허용 방화벽 규칙을 찾았습니다.
5f65e47f-7a00-4bf3-acae-90ee441ee876: IoT 디바이스 운영 체제 기준 유효성 검사 실패
a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: IoT 디바이스 사용률이 낮은 메시지를 보내는 에이전트
2acc27c6-5fdb-405e-9080-cb66b850c8f5: IoT 디바이스 TLS 암호 제품군 업그레이드 필요
d74d2738-2485-4103-9919-69c7e63776ec: IoT 디바이스 감사 프로세스가 이벤트 전송을 중지했습니다.

더 이상 사용되지 않는 IoT용 Microsoft Defender 디바이스 경고

모든 IoT용 Microsoft Defender 디바이스 경고는 더 이상 클라우드용 Microsoft Defender에 표시되지 않습니다. 이러한 경고는 IoT용 Microsoft Defender 경고 페이지와 Microsoft Sentinel에서 계속 사용할 수 있습니다.

GA(일반 공급)용으로 릴리스된 AWS 및 GCP에 대한 태세 관리와 위협 방지

  • 클라우드용 Defender의 CSPM 기능은 AWS 및 GCP 리소스로 확장됩니다. 이 에이전트 없는 플랜은 보안 점수에 포함되는 클라우드별 보안 권장 사항에 따라 다중 클라우드 리소스를 평가합니다. 리소스는 기본 제공 표준을 사용하여 규정 준수를 평가합니다. 클라우드용 Defender의 자산 인벤토리 페이지는 Azure 리소스와 함께 AWS 리소스를 관리할 수 있는 다중 클라우드 지원 기능입니다.

  • 서버용 Microsoft Defender는 AWS 및 GCP의 컴퓨팅 인스턴스에 위협 검색 및 고급 방어 기능을 제공합니다. 서버용 Defender 플랜에는 엔드포인트용 Microsoft Defender, 취약성 평가 검사 등에 대한 통합 라이선스가 포함되어 있습니다. 가상 머신과 서버에 지원되는 모든 기능에 대해 알아보세요. 자동 온보딩 기능을 통해 사용자 환경에서 검색된 기존의 또는 새로운 컴퓨팅 인스턴스를 쉽게 연결할 수 있습니다.

클라우드용 Microsoft Defender로 AWS 환경GCP 조직을 보호하고 연결하는 방법을 알아보세요.

ACR에서 Windows 이미지에 대한 레지스트리 검사에는 국가별 클라우드에 대한 지원이 추가됨

이제 Azure Government 및 Azure 중국 21Vianet에서 Windows 이미지에 대한 레지스트리 검사가 지원됩니다. 이 추가 기능은 현재 미리 보기로 제공됩니다.

기능의 가용성에 대해 자세히 알아보세요.

2022년 2월

2월의 업데이트는 다음과 같습니다.

Arc 지원 Kubernetes 클러스터에 대한 Kubernetes 워크로드 보호

이전에 컨테이너용 Defender는 Azure Kubernetes Service에서 실행되는 Kubernetes 워크로드만 보호했습니다. 이제 Azure Arc 지원 Kubernetes 클러스터를 포함하도록 보호 범위를 확장했습니다.

AKS 및 Azure Arc 지원 Kubernetes 클러스터에 대해 Kubernetes 워크로드 보호를 설정하는 방법을 알아봅니다.

GCP용 네이티브 CSPM 및 GCP 컴퓨팅 인스턴스용 위협 방지

GCP 환경의 새로운 자동화된 온보딩을 통해 클라우드용 Microsoft Defender로 GCP 워크로드를 보호할 수 있습니다. 클라우드용 Defender는 다음 플랜으로 리소스를 보호합니다.

  • 클라우드용 Defender의 CSPM 기능은 GCP 리소스로 확장됩니다. 이 에이전트 없는 플랜은 클라우드용 Defender와 함께 제공되는 GCP별 보안 권장 사항에 따라 GCP 리소스를 평가합니다. GCP 권장 사항은 보안 점수에 포함되며 리소스는 기본 제공되는 GCP CIS 표준을 준수하는지 평가됩니다. 클라우드용 Defender의 자산 인벤토리 페이지는 Azure, AWS 및 GCP에서 리소스를 관리할 수 있도록 하는 다중 클라우드 지원 기능입니다.

  • 서버용 Microsoft Defender는 GCP 컴퓨팅 인스턴스에 위협 검색 및 고급 방어 기능을 제공합니다. 이 플랜에는 엔드포인트용 Microsoft Defender, 취약성 평가 검사 등에 대한 통합 라이선스가 포함됩니다.

    사용 가능한 기능의 전체 목록은 가상 머신 및 서버에 지원되는 기능을 참조하세요. 자동 온보딩 기능을 사용하면 환경에서 발견된 기존 및 새로운 컴퓨팅 인스턴스를 쉽게 연결할 수 있습니다.

클라우드용 Microsoft Defender를 사용하여 보호하고 GCP 프로젝트를 연결하는 방법을 알아봅니다.

Azure Cosmos DB용 Microsoft Defender 플랜이 미리 보기로 릴리스됨

클라우드용 Microsoft Defender의 데이터베이스 적용 범위를 확장했습니다. 이제 Azure Cosmos DB 데이터베이스에 대한 보호를 사용하도록 설정할 수 있습니다.

Azure Cosmos DB용 Microsoft Defender는 Azure Cosmos DB 계정의 데이터베이스를 악용하려는 모든 시도를 검색하는 Azure 네이티브 보안 계층입니다. Azure Cosmos DB용 Microsoft Defender는 잠재적인 SQL 삽입, Microsoft 위협 인텔리전스 기반의 알려진 악의적인 행위자, 의심스러운 액세스 패턴, 손상된 ID 또는 악의적인 내부자를 통한 데이터베이스 악용 가능성을 감지합니다.

Azure Cosmos DB 서비스에서 생성된 고객 데이터 스트림을 지속적으로 분석합니다.

잠재적으로 악의적인 활동이 감지되면 보안 경고가 생성됩니다. 이러한 경고는 관련 조사 단계, 수정 작업, 보안 권장 사항에 더불어 의심스러운 활동의 세부 정보와 함께 클라우드용 Microsoft Defender에 표시됩니다.

Azure Cosmos DB용 Defender는 Azure Cosmos DB 계정 데이터에 액세스하지 않으므로 서비스를 사용하도록 설정해도 데이터베이스 성능에는 영향이 없습니다.

Azure Cosmos DB용 Microsoft Defender 개요에서 자세히 알아봅니다.

또한 데이터베이스 보안을 위한 새로운 사용 환경을 도입하고 있습니다. 이제 구독에서 클라우드용 Microsoft Defender 보호를 사용하도록 설정하여 하나의 사용 설정 프로세스를 통해 Azure Cosmos DB, Azure SQL Database, 컴퓨터의 Azure SQL Server, 오픈 소스 관계형 데이터베이스용 Microsoft Defender와 같은 모든 데이터베이스 형식을 보호할 수 있습니다. 플랜을 구성하여 특정 리소스 종류를 포함하거나 제외할 수 있습니다.

구독 수준에서 데이터베이스 보안을 사용하도록 설정하는 방법을 알아봅니다.

GKE(Google Kubernetes Engine) 클러스터에 대한 위협 방지

최근 발표된 GCP용 네이티브 CSPM 및 GCP용 위협 방지 컴퓨팅 인스턴스에 따라 컨테이너용 Microsoft Defender는 Kubernetes 위협 방지, 동작 분석 및 네이티브 제공 허용 제어 정책을 GKE(Google Kubernetes Engine) 표준 클러스터로 확장했습니다. 자동 온보딩 기능을 통해 기존 또는 새 GKE 표준 클러스터를 환경에 쉽게 온보딩할 수 있습니다. 사용 가능한 전체 기능 목록은 클라우드용 Microsoft Defender를 사용한 컨테이너 보안을 확인하세요.

2022년 1월

1월의 업데이트는 다음과 같습니다.

Resource Manager용 Microsoft Defender는 MITRE ATT&CK® Matrix에 매핑된 고위험 작업에 대한 강조 및 새로운 경고로 업데이트되었습니다.

클라우드 관리 계층은 모든 클라우드 리소스에 연결된 중요한 서비스입니다. 이 때문에 공격자의 잠재적 대상이기도 합니다. 보안 운영 팀이 리소스 관리 계층을 면밀히 모니터링하는 것이 좋습니다.

Microsoft Defender for Resource Manager는 Azure Portal, Azure REST API, Azure CLI 또는 다른 Azure 프로그래밍 클라이언트를 통해 수행되는지 여부와 관계없이 조직의 리소스 관리 작업을 자동으로 모니터링합니다. Defender for Cloud는 고급 보안 분석을 실행하여 위협을 감지하고 의심스러운 활동에 대해 경고합니다.

이 플랜의 보호 기능은 공격자의 공격에 대한 조직의 복원력을 크게 향상시키고 클라우드용 Defender가 보호하는 Azure 리소스의 수를 크게 늘립니다.

2020년 12월에 Resource Manager용 Defender의 미리 보기를 도입했으며 해당 플랜은 2021년 5월에 일반 공급용으로 릴리스되었습니다.

이 업데이트를 통해 Resource Manager용 Microsoft Defender 플랜의 초점을 포괄적으로 수정했습니다. 업데이트된 플랜에는 위험도가 높은 작업의 의심스러운 호출을 식별하는 데 중점을 둔 많은 새로운 경고가 포함되어 있습니다. 이러한 새로운 경고는 완전한MITRE ATT&CK® 매트릭스(클라우드 기반 기술용) 전반에 걸친 공격에 대한 광범위한 모니터링을 제공합니다.

이 매트릭스는 조직의 리소스를 대상으로 삼을 수 있는 공격자의 잠재적 영향 범위를 다룹니다. 초기 액세스, 실행, 지속성, 권한 상승, 방어 회피, 자격 증명 액세스, 검색, 측면 이동, 컬렉션, 유출 및 영향.

이 Defender 플랜에 대한 새로운 경고는 다음 표와 같이 이러한 의도를 다룹니다.

이러한 경고는 경고 참조 페이지에도 나타납니다.

경고(경고 유형) Description MITRE 전술(의도) 심각도
위험 수준이 높은 ‘초기 액세스’ 작업의 의심스러운 호출 감지됨(미리 보기)
(ARM_AnomalousOperation.InitialAccess)
Resource Manager용 Microsoft Defender는 구독에서 제한된 리소스에 액세스하려는 시도를 나타낼 수 있는 고위험 작업의 의심스러운 호출을 식별했습니다. 식별된 작업은 관리자가 해당 환경에 효율적으로 액세스할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자는 이러한 작업을 활용하여 사용자 환경의 제한된 리소스에 대한 초기 액세스를 얻을 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. 초기 액세스 중간
위험 수준이 높은 ‘실행’ 작업의 의심스러운 호출 감지됨(미리 보기)
(ARM_AnomalousOperation.Execution)
Resource Manager용 Microsoft Defender는 구독의 컴퓨터에서 코드 실행 시도를 나타낼 수 있는 고위험 작업의 의심스러운 호출을 식별했습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자는 이러한 작업을 활용하여 제한된 자격 증명에 액세스하고 사용자 환경에서 리소스를 손상시킬 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. 실행 중간
위험 수준이 높은 ‘지속성’ 작업의 의심스러운 호출 감지됨(미리 보기)
(ARM_AnomalousOperation.Persistence)
Resource Manager용 Microsoft Defender는 구독에서 지속성을 설정하려는 시도를 나타낼 수 있는 고위험 작업의 의심스러운 호출을 식별했습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자는 이러한 작업을 활용하여 사용자 환경에서 지속성을 설정할 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. 지속성 중간
위험 수준이 높은 ‘권한 에스컬레이션’ 작업의 의심스러운 호출 감지됨(미리 보기)
(ARM_AnomalousOperation.PrivilegeEscalation)
Resource Manager용 Microsoft Defender는 구독에서 권한 상승 시도를 나타낼 수 있는 고위험 작업의 의심스러운 호출을 식별했습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자는 이러한 작업을 활용하여 사용자 환경의 리소스를 손상시키면서 권한을 에스컬레이션할 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. 권한 상승 중간
위험 수준이 높은 ‘방어 회피’ 작업의 의심스러운 호출 감지됨(미리 보기)
(ARM_AnomalousOperation.DefenseEvasion)
Resource Manager용 Microsoft Defender는 구독에서 방어를 회피하려는 시도를 나타낼 수 있는 고위험 작업의 의심스러운 호출을 식별했습니다. 식별된 작업은 관리자가 환경의 보안 상태를 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자는 이러한 작업을 활용하여 사용자 환경의 리소스를 손상시키는 동안 감지되지 않도록 할 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. 방어 회피 중간
위험 수준이 높은 ‘자격 증명 액세스’ 작업의 의심스러운 호출 감지됨(미리 보기)
(ARM_AnomalousOperation.CredentialAccess)
Resource Manager용 Microsoft Defender는 구독에서 의심스러운 고위험 작업 호출을 식별했으며 이는 자격 증명에 액세스하려는 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 해당 환경에 효율적으로 액세스할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자는 이러한 작업을 활용하여 제한된 자격 증명에 액세스하고 사용자 환경에서 리소스를 손상시킬 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. 자격 증명 액세스 중간
위험 수준이 높은 ‘횡적 이동’ 작업의 의심스러운 호출 감지됨(미리 보기)
(ARM_AnomalousOperation.LateralMovement)
Resource Manager용 Microsoft Defender는 구독에서 고위험 작업의 의심스러운 호출을 식별했으며 이는 측면 이동을 수행하려는 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자는 이러한 작업을 활용하여 사용자 환경에서 추가 리소스를 손상시킬 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. 측면 확대 중간
위험 수준이 높은 ‘데이터 수집’ 작업의 의심스러운 호출 감지됨(미리 보기)
(ARM_AnomalousOperation.Collection)
Resource Manager용 Microsoft Defender는 구독에서 데이터 수집 시도를 나타낼 수 있는 고위험 작업의 의심스러운 호출을 식별했습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자는 이러한 작업을 활용하여 사용자 환경의 리소스에 대한 중요한 데이터를 수집할 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. 컬렉션 중간
위험 수준이 높은 ‘영향’ 작업의 의심스러운 호출 감지됨(미리 보기)
(ARM_AnomalousOperation.Impact)
Resource Manager용 Microsoft Defender는 구독에서 구성 변경 시도를 나타낼 수 있는 고위험 작업의 의심스러운 호출을 식별했습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자는 이러한 작업을 활용하여 제한된 자격 증명에 액세스하고 사용자 환경에서 리소스를 손상시킬 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. 영향 중간

또한 이 플랜의 다음 두 가지 경고가 미리 보기에서 제외되었습니다.

경고(경고 유형) Description MITRE 전술(의도) 심각도
의심스러운 IP 주소에서 Azure Resource Manager 작업
(ARM_OperationFromSuspiciousIP)
Resource Manager용 Microsoft Defender는 위협 인텔리전스 피드에서 의심스러운 것으로 표시된 IP 주소에서의 작업을 감지했습니다. 실행 중간
의심스러운 프록시 IP 주소에서 Azure Resource Manager 작업
(ARM_OperationFromSuspiciousProxyIP)
Resource Manager용 Azure Defender가 TOR과 같은 프록시 서비스와 연결된 IP 주소에서의 리소스 관리 작업을 감지했습니다. 이 동작은 합법적일 수 있지만, 위협 행위자가 원본 IP를 숨기려고 하는 악의적인 활동에서 나타나는 경우가 많습니다. 방어 회피 중간

작업 영역에서 Microsoft Defender 플랜을 사용하도록 설정하기 위한 권장 사항(미리 보기)

서버용 Microsoft Defender컴퓨터에 있는 SQL용 Microsoft Defender에서 제공하는 모든 보안 기능을 활용하려면, 구독과 작업 영역 수준에서 모두 플랜을 사용해야 합니다.

컴퓨터가 이러한 플랜 중 하나가 사용하도록 설정된 구독에 있는 경우 전체 보호에 대한 요금이 청구됩니다. 그러나 해당 컴퓨터가 플랜이 사용하도록 설정되지 않은 작업 영역에 보고하는 경우 실제로 이러한 혜택을 받지 못합니다.

이러한 플랜이 사용하도록 설정되지 않은 작업 영역을 강조하는 두 가지 권장 사항을 추가했습니다. 그럼에도 불구하고 플랜이 사용하도록 설정된 구독에서 작업 영역에 보고하는 컴퓨터가 있습니다.

둘 다 자동화된 해결('수정' 작업)을 제공하는 두 가지 권장 사항은 다음과 같습니다.

권장 Description 심각도
작업 영역에서 서버용 Microsoft Defender를 사용해야 합니다. 서버용 Microsoft Defender는 Windows/Linux 컴퓨터를 위한 위협 검색 및 고급 방어 기능을 제공합니다.
이 플랜이 구독에서는 사용되지만 작업 영역에서는 사용되지 않는 상태라면 서버용 Microsoft Defender의 전체 기능에 대해 비용을 지불하고 있음에도 불구하고 일부 이점을 놓치게 됩니다.
작업 영역에서 서버용 Microsoft Defender를 사용하는 경우 해당 작업 영역에 보고하는 모든 컴퓨터에 서버용 Microsoft Defender 요금이 청구됩니다. 이는 Defender 플랜이 사용되지 않는 구독에 있는 경우에도 마찬가지입니다. 또한 구독에서 서버용 Microsoft Defender를 사용하지 않는 한, 해당 컴퓨터는 Azure 리소스에 대한 Just-In-Time VM 액세스, 적응형 애플리케이션 제어, 네트워크 검색 기능을 활용할 수 없습니다.
서버용 Microsoft Defender 개요에서 자세히 알아봅니다.
(관련 정책 없음)
중간
작업 영역에서 컴퓨터의 SQL용 Microsoft Defender를 사용하도록 설정해야 합니다. 서버용 Microsoft Defender는 Windows/Linux 컴퓨터를 위한 위협 검색 및 고급 방어 기능을 제공합니다.
이 플랜이 구독에서는 사용되지만 작업 영역에서는 사용되지 않는 상태라면 서버용 Microsoft Defender의 전체 기능에 대해 비용을 지불하고 있음에도 불구하고 일부 이점을 놓치게 됩니다.
작업 영역에서 서버용 Microsoft Defender를 사용하는 경우 해당 작업 영역에 보고하는 모든 컴퓨터에 서버용 Microsoft Defender 요금이 청구됩니다. 이는 Defender 플랜이 사용되지 않는 구독에 있는 경우에도 마찬가지입니다. 또한 구독에서 서버용 Microsoft Defender를 사용하지 않는 한, 해당 컴퓨터는 Azure 리소스에 대한 Just-In-Time VM 액세스, 적응형 애플리케이션 제어, 네트워크 검색 기능을 활용할 수 없습니다.
서버용 Microsoft Defender 개요에서 자세히 알아봅니다.
(관련 정책 없음)
중간

Azure Arc 지원 컴퓨터에 Log Analytics 에이전트 자동 프로비저닝(미리 보기)

클라우드용 Defender는 Log Analytics 에이전트를 사용하여 컴퓨터에서 보안 관련 데이터를 수집합니다. 에이전트는 다양한 보안 관련 구성 및 이벤트 로그를 읽고 분석을 위해 데이터를 작업 영역에 복사합니다.

클라우드용 Defender의 자동 프로비저닝 설정에는 Log Analytics 에이전트를 포함하여 지원되는 확장의 각 형식에 대한 토글이 있습니다.

하이브리드 클라우드 기능의 추가 확장에서 Azure Arc에 연결된 컴퓨터에 Log Analytics 에이전트를 자동 프로비저닝하는 옵션을 추가했습니다.

다른 자동 프로비저닝 옵션과 마찬가지로 구독 수준에서 구성됩니다.

이 옵션을 사용하도록 설정하면 작업 영역을 묻는 메시지가 표시됩니다.

참고

이 미리 보기의 경우 클라우드용 Defender에서 만든 기본 작업 영역을 선택할 수 없습니다. Azure Arc 지원 서버에 사용할 수 있는 전체 보안 기능 집합을 받으려면 선택한 작업 영역에 관련 보안 솔루션이 설치되어 있는지 확인합니다.

Log Analytics 에이전트를 Azure Arc 사용 컴퓨터에 자동으로 프로비전하는 방법의 스크린샷

SQL 데이터베이스에서 중요한 데이터를 분류하기 위한 권장 사항을 더 이상 사용하지 않음

클라우드용 Defender가 클라우드 리소스에서 중요한 날짜를 식별하고 보호하는 방법에 대한 정밀 검사의 일환으로 SQL 데이터베이스의 중요한 데이터를 분류해야 함 권장 사항을 제거했습니다.

이 변경 내용에 대한 사전 공지는 클라우드용 Microsoft Defender의 중요 변경 내용 페이지에 지난 6개월 동안 표시되었습니다.

다음 경고는 이전에 DNS용 Microsoft Defender 플랜을 사용하도록 설정한 조직에서만 사용할 수 있었습니다.

이 업데이트를 사용하면 서버용 Microsoft Defender 또는 App Service용 Defender 플랜이 사용되는 구독에 대한 경고도 표시됩니다.

또한 Microsoft 위협 인텔리전스는 알려진 악성 도메인 목록을 확장하여 Log4j와 관련해서 널리 알려진 취약성 악용과 관련된 도메인을 포함합니다.

경고(경고 유형) Description MITRE 전술 심각도
위협 인텔리전스에서 식별된 의심스러운 도메인과의 통신
(AzureDNS_ThreatIntelSuspectDomain)
리소스에서 DNS 트랜잭션을 분석하고 위협 인텔리전스 피드에서 식별된 알려진 악성 도메인과 비교하여 의심스러운 도메인과의 통신이 감지되었습니다. 공격자가 악성 도메인과의 통신을 수행하는 경우가 많고, 리소스가 손상되었음을 의미할 수 있습니다. 초기 액세스/지속성/실행/명령 및 제어/악용 중간

보안 경고 세부 정보 창에 '경고 JSON 복사' 단추가 추가됨

사용자가 다른 사용자(예: SOC 분석가, 리소스 소유자 및 개발자)와 경고 세부 정보를 빠르게 공유할 수 있도록 보안 경고 세부 정보 창에서 하나의 단추로 특정 경고의 모든 세부 정보를 쉽게 추출하는 기능을 추가했습니다.

새로운 경고 JSON 복사 단추는 JSON 형식의 경고 세부 정보를 사용자의 클립보드에 저장합니다.

경고 세부 정보 창의 '경고 JSON 복사' 단추에 대한 스크린샷

권장 사항 2개의 이름이 변경됨

다른 권장 사항 이름과의 일관성을 위해 다음 두 가지 권장 사항의 이름을 변경했습니다.

  • 실행 중인 컨테이너 이미지에서 발견된 취약성 해결을 위한 권장 사항

    • 이전 이름: 컨테이너 이미지 실행의 취약성을 수정해야 함(Qualys 제공)
    • 새 이름: 컨테이너 이미지를 실행하면 취약성 발견 항목이 해결되어야 합니다.
  • Azure App Service에 대한 진단 로그를 사용하도록 설정하기 위한 권장 사항

    • 이전 이름: App Service에서 진단 로그를 사용하도록 설정해야 합니다.
    • 새 이름: App Service의 진단 로그를 사용하도록 설정해야 합니다.

사용되지 않는 Kubernetes 클러스터 컨테이너는 허용된 포트 정책에서만 수신 대기해야 합니다.

Kubernetes 클러스터 컨테이너는 허용된 포트에서만 수신 대기해야 함 권장 사항은 더 이상 사용하지 않습니다.

정책 이름 Description 효과 버전
Kubernetes 클러스터 컨테이너는 허용된 포트만 수신 대기해야 함 Kubernetes 클러스터에 대한 액세스를 보호하기 위해 컨테이너가 허용된 포트에서만 수신 대기하도록 제한합니다. 이 정책은 일반적으로 AKS(Kubernetes Service)에서 사용할 수 있으며 AKS 엔진 및 Azure Arc 지원 Kubernetes에 대한 미리 보기입니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 거부, 사용 안 함 6.1.2

서비스는 허용된 포트에서만 수신 대기해야 함 권장 사항은 애플리케이션이 인터넷에 노출하는 포트를 제한하는 데 사용해야 합니다.

'활성 경고' 통합 문서를 추가했습니다.

사용자가 환경에 대한 활성 위협을 이해하는 데 도움을 주고 치료 프로세스 동안 활성 경고 사이의 우선 순위를 지정하기 위해 활성 경고 통합 문서를 추가했습니다.

활성 경고 통합 문서의 추가를 보여 주는 스크린샷

활성 경고 통합 문서를 통해 사용자는 심각도, 형식, 태그, MITRE ATT&CK 전술 및 위치별로 집계된 경고의 통합 대시보드를 볼 수 있습니다. '활성 경고' 통합 문서 사용에서 자세히 알아보세요.

정부 클라우드에 '시스템 업데이트' 권장 사항 추가

이제 모든 정부 클라우드에서 '시스템 업데이트를 컴퓨터에 설치해야 합니다' 권장 사항을 사용할 수 있습니다.

이 변경 내용은 정부 클라우드 구독의 보안 점수에 영향을 미칠 가능성이 높습니다. 변경 내용으로 인해 점수가 낮아질 것으로 예상되지만 권장 사항을 포함하면 경우에 따라 점수가 높아질 수 있습니다.

2021년 12월

12월의 업데이트는 다음과 같습니다.

GA(일반 공급)를 위해 릴리스된 컨테이너용 Microsoft Defender 플랜

2년 전에 클라우드용 Microsoft Defender 내에서 Azure Defender 제품의 일부로 Kubernetes용 Defender컨테이너 레지스트리용 Defender를 도입했습니다.

컨테이너용 Microsoft Defender가 릴리스되면서 이 두 가지 기존 Defender 플랜이 병합되었습니다.

새로운 플랜:

  • 두 가지 기존 플랜의 기능 결합 - Kubernetes 클러스터에 대한 위협 검색 및 컨테이너 레지스트리에 저장된 이미지에 대한 취약성 평가
  • 새롭고 개선된 기능 제공 - 다중 클라우드 지원, 60개 이상의 새로운 Kubernetes 인식 분석을 통한 호스트 수준 위협 탐지, 실행 중인 이미지에 대한 취약성 평가 등
  • Kubernetes 네이티브 대규모 온보딩 도입 - 기본적으로 플랜을 사용하도록 설정하면 모든 관련 구성 요소가 자동으로 배포되도록 구성됩니다.

이번 릴리스에서는 Kubernetes용 Defender 및 컨테이너 레지스트리용 Defender가 다음과 같이 변경되었습니다.

  • 새 구독 - 이전의 두 가지 컨테이너 플랜은 더 이상 사용할 수 없습니다.
  • 기존 구독 - Azure Portal에 표시될 때마다 최신 플랜 Defender for container registries and Defender for Kubernetes plans showing 'Deprecated' and upgrade information.에 대한 업그레이드 방법의 지침과 함께 플랜이 사용되지 않음으로 표시됩니다.

새로운 플랜은 2021년 12월 한 달간 무료입니다. 이전 플랜에서 컨테이너용 Defender로의 청구 변경 가능성과 이 플랜에 도입된 이점에 대한 자세한 내용은 컨테이너용 Microsoft Defender 소개를 참조하세요.

자세한 내용은 다음을 참조하세요.

GA(일반 공급)를 위해 릴리스된 스토리지용 Microsoft Defender에 대한 새로운 경고

공격자는 도구와 스크립트를 사용하여 중요한 데이터가 포함된 잘못 구성된 개방형 스토리지 컨테이너를 찾기 위해 공개적으로 열린 컨테이너를 검사합니다.

스토리지용 Microsoft Defender는 이러한 스캐너를 검색하여 사용자가 스캐너를 차단하고 태세를 수정할 수 있도록 합니다.

이를 검색한 미리 보기 경고는 "공용 스토리지 컨테이너의 익명 검사"였습니다. 발견된 의심스러운 이벤트를 더 명확하게 설명하기 위해 이를 두 개의 새로운 경고로 나누었습니다. 이러한 경고는 Azure Blob Storage에만 관련됩니다.

검색 논리를 개선하고 경고 메타데이터를 업데이트했으며 경고 이름과 경고 형식을 변경했습니다.

다음은 새로운 경고입니다.

경고(경고 유형) Description MITRE 전술 심각도
공개적으로 액세스할 수 있는 스토리지 컨테이너가 성공적으로 검색됨
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)
스토리지 계정에서 공개적으로 열려 있는 스토리지 컨테이너를 성공적으로 검색한 후 지난 1시간 동안 검사 스크립트 또는 도구를 통해 수행되었습니다.

이는 일반적으로 위협 행위자가 중요한 데이터가 포함된 잘못 구성된 열린 스토리지 컨테이너를 찾기 위해 컨테이너 이름을 추측하여 Blob을 나열하려고 하는 정찰 공격을 나타냅니다.

위협 행위자가 자체 스크립트를 사용하거나 Microburst와 같은 알려진 검사 도구를 사용하여 공개적으로 열린 컨테이너를 검색할 수 있습니다.

✔ Azure Blob Storage
✖ Azure Files
✖ Azure Data Lake Storage Gen2
컬렉션 중간
공개적으로 액세스할 수 있는 스토리지 컨테이너를 검사하지 못함
(Storage.Blob_OpenContainersScanning.FailedAttempt)
공개적으로 열린 스토리지 컨테이너를 검사하는 데 실패한 일련의 시도가 지난 1시간 동안 수행되었습니다.

이는 일반적으로 위협 행위자가 중요한 데이터가 포함된 잘못 구성된 열린 스토리지 컨테이너를 찾기 위해 컨테이너 이름을 추측하여 Blob을 나열하려고 하는 정찰 공격을 나타냅니다.

위협 행위자가 자체 스크립트를 사용하거나 Microburst와 같은 알려진 검사 도구를 사용하여 공개적으로 열린 컨테이너를 검색할 수 있습니다.

✔ Azure Blob Storage
✖ Azure Files
✖ Azure Data Lake Storage Gen2
컬렉션 낮음

자세한 내용은 다음을 참조하세요.

스토리지용 Microsoft Defender에 대한 경고 개선 사항

초기 액세스 경고는 이제 조사를 지원하기 위해 정확도가 향상되었으며 더 많은 데이터를 제공합니다.

공격자는 초기 액세스에서 다양한 기술을 사용하여 네트워크 내에서 탄탄한 기반을 쌓습니다. 이 단계에서 동작 변칙을 검색하는 스토리지용 Microsoft Defender 경고 중 2개에는 이제 조사를 지원하기 위해 개선된 검색 논리와 추가 데이터가 있습니다.

과거에 이러한 경고에 대해 자동화를 구성하거나 경고 제거 규칙을 정의했다면 이러한 변경사항에 따라 업데이트합니다.

Tor 출구 노드에서 액세스 검색

Tor 출구 노드에서의 액세스는 ID를 숨기려는 공격자를 나타낼 수 있습니다.

이제 경고가 인증된 액세스에 대해서만 생성되도록 조정되어 작업이 악의적이라는 진단에 대한 정확도와 신뢰도가 높아집니다. 이 향상은 무해한 양성 비율을 줄입니다.

변칙적인 패턴은 심각도가 높고, 덜 변칙적인 패턴은 심각도가 중간입니다.

경고 이름과 설명이 업데이트되었습니다. AlertType은 변경되지 않은 상태로 유지됩니다.

  • 경고 이름(이전): Tor 종료 노드에서 스토리지 계정으로 액세스
  • 경고 이름(신규): Tor 출구 노드에서 인증된 액세스
  • 경고 형식: Storage.Blob_TorAnomaly/Storage.Files_TorAnomaly
  • 설명: 스토리지 계정에 있는 하나 이상의 스토리지 컨테이너/파일 공유가 Tor(익명화 프록시)의 활성 종료 노드로 알려진 IP 주소에서 성공적으로 액세스되었습니다. 위협 행위자가 Tor를 사용하여 활동을 추적하기 어렵게 만듭니다. Tor 종료 노드에서 인증된 액세스는 위협 행위자가 자신의 ID를 숨기려고 한다는 것을 나타낼 수 있습니다. 적용 대상: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
  • MITRE 전술: 초기 액세스
  • 심각도: 높음/중간

비정상적인 인증되지 않은 액세스

액세스 패턴의 변경은 공격자가 액세스 구성의 실수를 악용하거나 액세스 권한을 변경하여 스토리지 컨테이너에 대한 공용 읽기 권한을 악용할 수 있음을 나타낼 수 있습니다.

이 중간 심각도 경고는 이제 개선된 동작 논리, 더 높은 정확도 및 작업이 악의적이라는 확신으로 조정되었습니다. 이 향상은 무해한 양성 비율을 줄입니다.

경고 이름과 설명이 업데이트되었습니다. AlertType은 변경되지 않은 상태로 유지됩니다.

  • 경고 이름(이전): 스토리지 계정에 대한 익명 액세스
  • 경고 이름(신규): 스토리지 컨테이너에 대한 비정상적인 인증되지 않은 액세스
  • 경고 형식: Storage.Blob_AnonymousAccessAnomaly
  • 설명: 이 스토리지 계정은 인증 없이 액세스되었으며, 이는 일반적인 액세스 패턴의 변경 내용입니다. 이 컨테이너에 대한 읽기 액세스는 일반적으로 인증됩니다. 이는 위협 행위자가 이 스토리지 계정의 스토리지 컨테이너에 대한 공용 읽기 액세스를 악용할 수 있음을 나타낼 수 있습니다. 적용 대상: Azure Blob Storage
  • MITRE 전술: 컬렉션
  • 심각도: 중간

자세한 내용은 다음을 참조하세요.

네트워크 계층 경고에서 'PortSweeping' 경고가 제거됨

비효율성으로 인해 다음 경고가 네트워크 계층 경고에서 제거되었습니다.

경고(경고 유형) Description MITRE 전술 심각도
발신 포트 검색 활동이 감지되었을 수 있음
(PortSweeping)
네트워크 트래픽을 분석한 결과, %{Compromised Host}에서 의심스러운 발신 트래픽이 감지되었습니다. 이 트래픽은 포트 검색 활동에 따른 결과일 수 있습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심되는 발신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스에서 발생했습니다. 이 동작이 의도적인 경우 포트 검색을 수행하는 것은 Azure 서비스 약관에 위배됩니다. 이 동작이 의도적이지 않은 경우에는 리소스가 손상된 것을 의미할 수 있습니다. 검색 중간

2021년 11월

Ignite 릴리스에는 다음이 포함됩니다.

11월의 기타 변경 내용은 다음과 같습니다.

Azure Security Center 및 Azure Defender는 클라우드용 Microsoft Defender가 됩니다.

2021년 클라우드 현황 보고서에 따르면 현재 조직의 92%가 다중 클라우드 전략을 보유하고 있습니다. Microsoft의 목표는 이러한 환경 전반에 걸쳐 보안을 중앙 집중화하고 보안 팀이 보다 효과적으로 작업할 수 있도록 돕는 것입니다.

클라우드용 Microsoft Defender(이전에는 Azure Security Center 및 Azure Defender로 알려짐)는 클라우드 구성 전반에 걸쳐 약점을 발견하고 전반적인 보안을 강화할 수 있도록 하는 CSPM(클라우드 보안 태세 관리) 및 CWP(클라우드 워크로드 보호) 솔루션이며 환경의 보안 태세를 파악하고 다중 클라우드 및 하이브리드 환경에서 워크로드를 보호합니다.

Ignite 2019에서 Microsoft는 Microsoft Defender 브랜드로 디지털 자산을 보호하고 XDR 기술을 통합하기 위한 가장 완벽한 방법을 만들기 위한 비전을 공유했습니다. Azure Security Center와 Azure Defender를 클라우드용 Microsoft Defender라는 새 이름으로 통합하는 것은 Microsoft 보안 제품의 통합 기능과 모든 클라우드 플랫폼을 지원하는 Microsoft의 기능을 반영합니다.

AWS용 네이티브 CSPM 및 Amazon EKS용 위협 방지, AWS EC2

새로운 환경 설정 페이지는 관리 그룹, 구독 및 AWS 계정에 대한 더 나은 표시 유형과 제어를 제공합니다. 이 페이지는 AWS 계정을 대규모로 온보딩하도록 설계되었습니다. AWS 관리 계정을 연결하면 기존 계정과 향후 계정이 자동으로 온보딩됩니다.

새 환경 설정 페이지를 사용하여 AWS 계정 연결

AWS 계정을 추가하면 클라우드용 Defender는 다음 플랜 중 일부 또는 전체를 사용하여 AWS 리소스를 보호합니다.

  • Defender for Cloud의 CSPM 기능은 AWS 리소스로 확장됩니다. 이 에이전트 없는 플랜은 AWS 관련 보안 권장 사항에 따라 AWS 리소스를 평가하며, 평가 결과는 보안 점수에 포함됩니다. 또한 리소스가 AWS(AWS CIS, AWS PCI DSS 및 AWS Foundational 보안 모범 사례)와 관련된 기본 제공 표준을 준수하는지 여부도 평가됩니다. 클라우드용 Defender의 자산 인벤토리 페이지는 Azure 리소스와 함께 AWS 리소스를 관리하는 데 도움이 되는 다중 클라우드 지원 기능입니다.
  • Kubernetes용 Microsoft Defender는 컨테이너 위협 탐지 및 고급 방어를 Amazon EKS Linux 클러스터로 확장합니다.
  • 서버용 Microsoft Defender는 위협 탐지 및 고급 방어를 Windows 및 Linux EC2 인스턴스로 확장합니다. 이 플랜에는 엔드포인트용 Microsoft Defender의 통합 라이선스, 보안 기준 및 OS 수준 평가, 취약성 평가 검사, AAC(적응형 애플리케이션 제어), FIM(파일 무결성 모니터링) 등이 포함됩니다.

AWS 계정을 클라우드용 Microsoft Defender에 연결에 대해 자세히 알아보세요.

데이터 민감도에 따라 보안 작업의 우선 순위 지정(Microsoft Purview 제공)(미리 보기)

데이터 리소스는 여전히 공격자의 대상으로 자주 설정됩니다. 따라서 보안 팀은 클라우드 환경에서 중요한 데이터 리소스를 식별하고 우선 순위를 지정하고 보호하는 것이 중요합니다.

이 문제를 해결하기 위해 이제 클라우드용 Microsoft Defender에서 Microsoft Purview의 민감도 정보를 통합합니다. Microsoft Purview는 다중 클라우드 및 온-프레미스 워크로드 내에서 데이터의 민감도에 대한 풍부한 인사이트를 제공하는 통합 데이터 거버넌스 서비스입니다.

Microsoft Purview와의 통합은 인프라 수준에서 데이터까지 클라우드용 Defender의 보안 표시 여부를 확장하여 보안 팀을 위한 리소스/보안 작업의 우선 순위를 지정하는 완전히 새로운 방법을 지원합니다.

데이터 민감도별로 보안 작업 우선 순위 지정에서 자세히 알아보세요.

Azure Security Benchmark v3으로 확장된 보안 컨트롤 평가

클라우드용 Microsoft Defender의 보안 권장 사항은 Azure Security Benchmark에서 사용하도록 설정 및 지원됩니다.

Azure 보안 벤치마크는 Microsoft에서 작성한, 일반적인 규정 준수 프레임워크를 기반으로 하는 보안 및 규정 준수 모범 사례에 대한 Azure 관련 지침 집합입니다. 널리 인정받는 이 벤치마크는 클라우드 중심 보안에 초점을 맞춘 CIS(Center for Internet Security)NIST(National Institute of Standards and Technology)의 컨트롤을 기반으로 합니다.

Ignite 2021부터 Azure Security Benchmark v3클라우드용 Defender의 규정 준수 대시보드에서 사용할 수 있으며 클라우드용 Microsoft Defender로 보호되는 모든 Azure 구독에 대한 새로운 기본 이니셔티브로 사용하도록 설정됩니다.

v3의 향상된 기능은 다음과 같습니다.

  • 업계 프레임워크 PCI-DSS v3.2.1CIS Controls v8에 대한 추가 매핑.

  • 다음을 도입하여 제어에 대한 보다 세분화되고 실행 가능한 지침:

    • 보안 원칙 - 권장 사항의 기반을 빌드하는 전반적인 보안 목표에 대한 인사이트를 제공합니다.
    • Azure Guidance - 이러한 목표를 달성하기 위한 기술적 "방법"입니다.
  • 새로운 컨트롤에는 위협 모델링 및 소프트웨어 공급망 보안과 같은 문제에 대한 DevOps 보안과 Azure의 모범 사례를 위한 키 및 인증서 관리가 포함됩니다.

Azure Security Benchmark 소개에서 자세히 알아보세요.

GA(일반 공급)를 위해 릴리스된 Microsoft Sentinel 커넥터의 선택적 양방향 경고 동기화

7월에 Microsoft Sentinel(Microsoft의 클라우드 네이티브 SIEM 및 SOAR 솔루션)의 기본 제공 커넥터에 대한 양방향 경고 동기화 미리 보기 기능을 발표했습니다. 이 기능은 이제 GA(일반 공급)를 위해 릴리스되었습니다.

클라우드용 Microsoft Defender를 Microsoft Sentinel에 연결하면 보안 경고 상태가 두 서비스 간에 동기화됩니다. 따라서 예를 들어 클라우드용 Defender에서 경고가 닫히면 해당 경고는 Microsoft Sentinel에서도 닫힌 것으로 표시됩니다. 클라우드용 Defender에서 경고 상태를 변경해도 동기화된 Microsoft Sentinel 경고가 포함된 Microsoft Sentinel 인시던트의 상태는 영향을 받지 않고 동기화된 경고 자체의 상태에만 영향을 줍니다.

양방향 경고 동기화를 사용하도록 설정하면 원래 클라우드용 Defender 경고의 상태를 해당 클라우드용 Defender 경고의 복사본이 포함된 Microsoft Sentinel 인시던트와 자동으로 동기화합니다. 따라서 예를 들어 클라우드용 Defender 경고가 포함된 Microsoft Sentinel 인시던트가 종료되면 클라우드용 Defender는 해당 원래 경고를 자동으로 닫습니다.

Azure Security Center에서 Azure Defender 경고 연결Azure Sentinel로 경고 스트리밍에서 자세히 알아보세요.

AKS(Azure Kubernetes Service) 로그를 Sentinel에 푸시하기 위한 새로운 권장 사항

클라우드용 Defender와 Microsoft Sentinel의 결합된 가치에 대한 추가 개선 사항에서 이제 Microsoft Sentinel에 로그 데이터를 보내지 않는 Azure Kubernetes Service 인스턴스를 강조합니다.

SecOps 팀은 권장 사항 세부 정보 페이지에서 직접 관련 Microsoft Sentinel 작업 영역을 선택하고 원시 로그 스트리밍을 즉시 사용하도록 설정할 수 있습니다. 두 제품 간의 원활한 연결을 통해 보안 팀은 전체 환경을 파악하기 위해 워크로드 전반에 걸쳐 완전한 로깅 적용 범위를 쉽게 보장할 수 있습니다.

새로운 권장 사항인 "Kubernetes Service의 진단 로그를 사용하도록 설정해야 함"에는 더 빠른 해결을 위한 "수정" 옵션이 포함됩니다.

또한 동일한 Sentinel 스트리밍 기능으로 "SQL Server에 대한 감사를 사용하도록 설정해야 함" 권장 사항을 개선했습니다.

MITRE ATT&CK® 프레임워크에 매핑된 권장 사항 - GA(일반 공급)를 위해 릴리스됨

MITRE ATT&CK® 프레임워크에서 자신의 위치를 표시하도록 클라우드용 Defender의 보안 권장 사항을 개선했습니다. 실제 관찰을 기반으로 하는 공격자의 전술 및 기술에 대한 전 세계적으로 액세스 가능한 기술 자료는 환경에 대한 권장 사항의 관련 위험을 이해할 수 있도록 하는 더 많은 컨텍스트를 제공합니다.

권장 정보에 액세스할 때마다 다음 전술을 찾을 수 있습니다.

  • 관련 권장 사항에 대한 Azure Resource Graph 쿼리 결과에는 MITRE ATT&CK® 전술 및 기술이 포함됩니다.

  • 권장 사항 세부 정보 페이지에는 모든 관련 권장 사항에 대한 매핑이 표시됩니다.:

    권장 사항에 대한 MITRE 전술 매핑의 스크린샷

  • 클라우드용 Defender의 권장 사항 페이지에는 관련 전술에 따라 권장 사항을 선택하는 새로운 필터가 있습니다:

보안 권장 사항 검토에서 자세히 알아보세요.

Microsoft 위협 및 취약성 관리가 취약성 평가 솔루션으로 추가됨 - GA(일반 공급)용으로 릴리스됨

10월에는 컴퓨터 대한 새로운 취약성 평가 공급자를 지원하기 위해 서버용 Microsoft Defender와 엔드포인트용 Microsoft Defender 간의 통합에 대한 확장을 발표했습니다(Microsoft 위협 및 취약성 관리). 이 기능은 이제 GA(일반 공급)를 위해 릴리스되었습니다.

위협 및 취약성 관리를 사용하면 엔드포인트용 Microsoft Defender와의 통합이 사용하도록 설정된 상태에서 추가 에이전트나 정기 검사 없이 거의 실시간으로 취약성과 잘못된 구성을 발견할 수 있습니다. 위협 및 취약성 관리는 조직의 위협 환경 및 검색을 기반으로 취약성의 우선 순위를 지정합니다.

보안 권장 사항 "가상 머신에서 취약성 평가 솔루션을 사용하도록 설정해야 함"을 사용하여 지원되는 컴퓨터에 대한 위협 및 취약성 관리에서 검색된 취약성을 표시합니다.

수동으로 권장 사항을 수정할 필요 없이 기존 및 새 컴퓨터에서 취약성을 자동으로 표시하려면 취약성 평가 솔루션을 이제 자동으로 사용하도록 설정할 수 있음(미리 보기에서)을 참조하세요.

엔드포인트용 Microsoft Defender의 위협 및 취약성 관리를 통한 취약성 조사에서 자세히 알아보세요.

Linux의 엔드포인트용 Microsoft Defender는 이제 서버용 Microsoft Defender에서 지원됨 - GA(일반 공급)용으로 릴리스됨

8월에 지원되는 Linux 컴퓨터에 Linux 엔드포인트용 Defender 센서를 배포하기 위한 미리 보기 지원을 발표했습니다. 이 기능은 이제 GA(일반 공급)를 위해 릴리스되었습니다.

서버용 Microsoft Defender에는 엔드포인트용 Microsoft Defender에 대한 통합 라이선스가 포함되어 있습니다. 또한 포괄적인 EDR(엔드포인트 검색 및 응답) 기능을 제공합니다.

엔드포인트용 Defender는 위협을 감지하면 경고를 트리거합니다. 경고는 Defender for Cloud에 표시됩니다. Defender for Cloud에서 엔드포인트용 Defender 콘솔로 피벗하고 자세히 조사하여 공격 범위를 확인할 수도 있습니다.

Security Center의 통합 EDR 솔루션으로 엔드포인트를 보호: 엔드포인트용 Microsoft Defender를 자세히 알아봅니다.

권장 사항 및 보안 결과에 대한 스냅샷 내보내기(미리 보기)

클라우드용 Defender는 자세한 보안 경고 및 권장 사항을 생성합니다. 관련 내용은 포털에서 또는 프로그래밍 도구를 통해 볼 수 있습니다. 사용자 환경에서 다른 모니터링 도구를 사용해 추적하기 위해서는 이 정보의 일부 또는 전부 내보내야 할 수도 있습니다.

클라우드용 Defender의 연속 내보내기 기능을 사용하면 내보낼 내용과 내보낼 위치를 완전히 사용자 지정할 수 있습니다. 클라우드용 Microsoft Defender의 데이터 지속적으로 내보내기에서 자세히 알아보세요.

이 기능을 연속이라고 하더라도 주간 스냅샷을 내보내는 옵션도 있습니다. 지금까지 이러한 주간 스냅샷은 보안 점수 및 규정 준수 데이터로 제한되었습니다. 권장 사항 및 보안 결과를 내보내는 기능을 추가했습니다.

GA(일반 공급)를 위해 릴리스된 취약성 평가 솔루션의 자동 프로비저닝

10월에 클라우드용 Defender의 자동 프로비저닝 페이지에 취약성 평가 솔루션을 추가한다고 발표했습니다. 이는 서버용 Azure Defender로 보호되는 구독의 Azure 가상 머신 및 Azure Arc 컴퓨터와 관련 있습니다. 이 기능은 이제 GA(일반 공급)를 위해 릴리스되었습니다.

엔드포인트용 Microsoft Defender와의 통합이 사용하도록 설정된 경우 클라우드용 Defender는 다음과 같은 취약성 평가 솔루션을 제공합니다.

  • (신규) 엔드포인트용 Microsoft Defender의 Microsoft 위협 및 취약성 관리 모듈(릴리스 노트 참조)
  • 통합 Quals 에이전트

선택한 솔루션은 지원되는 컴퓨터에서 자동으로 사용하도록 설정됩니다.

컴퓨터에 대한 취약성 평가 자동 구성에서 자세히 알아보세요.

GA(일반 공급)를 위해 릴리스된 자산 인벤토리의 소프트웨어 인벤토리 필터

10월에 특정 소프트웨어를 실행하는 컴퓨터를 선택하고 관심 있는 버전을 지정할 수도 있는 자산 인벤토리 페이지에 대한 새로운 필터를 발표했습니다. 이 기능은 이제 GA(일반 공급)를 위해 릴리스되었습니다.

Azure Resource Graph Explorer에서 소프트웨어 인벤토리 데이터를 쿼리할 수 있습니다.

이러한 기능을 사용하려면 엔드포인트용 Microsoft Defender와의 통합을 사용하도록 설정해야 합니다.

Azure Resource Graph에 대한 샘플 Kusto 쿼리를 포함한 자세한 내용은 소프트웨어 인벤토리 액세스를 참조하세요.

기본 이니셔티브에 새로운 AKS 보안 정책 추가 – 프라이빗 미리 보기 고객만 사용

기본적으로 Kubernetes 워크로드가 안전한지 확인하기 위해 클라우드용 Defender에는 Kubernetes 허용 제어가 포함된 적용 옵션을 포함하여 Kubernetes 수준 정책 및 강화 권장 사항이 포함되어 있습니다.

이 프로젝트의 일부로 Kubernetes 클러스터에서 배포를 차단하기 위한 정책 및 권장 사항(기본적으로 사용하지 않도록 설정됨)을 추가했습니다. 이 정책은 기본 이니셔티브에 있지만 관련 프라이빗 미리 보기에 등록하는 조직에만 관련이 있습니다.

정책 및 권장 사항("Kubernetes 클러스터는 취약한 이미지의 배포를 차단해야 함")을 안전하게 무시할 수 있으며 환경에 영향을 미치지 않습니다.

프라이빗 미리 보기에 참여하려면 프라이빗 미리 보기 링의 멤버이어야 합니다. 아직 멤버가 아닌 경우 여기에 요청을 제출합니다. 미리 보기가 시작되면 멤버에게 알림이 전송됩니다.

온-프레미스 컴퓨터의 인벤토리 표시는 리소스 이름에 대해 다른 템플릿을 적용합니다.

자산 인벤토리의 리소스 표시를 개선하기 위해 온-프레미스 컴퓨터의 명명을 위한 템플릿에서 "source-computer-IP" 요소를 제거했습니다.

  • 이전 형식:machine-name_source-computer-id_VMUUID
  • 이 업데이트로:machine-name_VMUUID

2021년 10월

10월의 업데이트는 다음과 같습니다.

Microsoft 위협 및 취약성 관리가 취약성 평가 솔루션으로 추가됨(미리 보기)

서버용 Azure Defender와 엔드포인트용 Microsoft Defender 간의 통합을 확장하여 컴퓨터에 대한 새로운 취약성 평가 공급자인 Microsoft 위협 및 취약성 관리를 지원합니다.

위협 및 취약성 관리를 사용하면 엔드포인트용 Microsoft Defender와의 통합이 사용하도록 설정된 상태에서 추가 에이전트나 정기 검사 없이 거의 실시간으로 취약성과 잘못된 구성을 발견할 수 있습니다. 위협 및 취약성 관리는 조직의 위협 환경 및 검색을 기반으로 취약성의 우선 순위를 지정합니다.

보안 권장 사항 "가상 머신에서 취약성 평가 솔루션을 사용하도록 설정해야 함"을 사용하여 지원되는 컴퓨터에 대한 위협 및 취약성 관리에서 검색된 취약성을 표시합니다.

수동으로 권장 사항을 수정할 필요 없이 기존 및 새 컴퓨터에서 취약성을 자동으로 표시하려면 취약성 평가 솔루션을 이제 자동으로 사용하도록 설정할 수 있음(미리 보기에서)을 참조하세요.

엔드포인트용 Microsoft Defender의 위협 및 취약성 관리를 통한 취약성 조사에서 자세히 알아보세요.

이제 취약성 평가 솔루션을 자동으로 사용하도록 설정할 수 있습니다(미리 보기에서).

Security Center의 자동 프로비저닝 페이지에는 이제 서버용 Azure Defender로 보호되는 구독에서 Azure Virtual Machines 및 Azure Arc 컴퓨터에 대한 취약성 평가 솔루션을 자동으로 사용하도록 설정하는 옵션이 포함됩니다.

엔드포인트용 Microsoft Defender와의 통합이 사용하도록 설정된 경우 클라우드용 Defender는 다음과 같은 취약성 평가 솔루션을 제공합니다.

  • (신규) 엔드포인트용 Microsoft Defender의 Microsoft 위협 및 취약성 관리 모듈(릴리스 노트 참조)
  • 통합 Quals 에이전트

Azure Security Center에서 Microsoft의 위협 및 취약성 관리에 대한 자동 프로비전 구성

선택한 솔루션은 지원되는 컴퓨터에서 자동으로 사용하도록 설정됩니다.

컴퓨터에 대한 취약성 평가 자동 구성에서 자세히 알아보세요.

자산 인벤토리에 추가된 소프트웨어 인벤토리 필터(미리 보기)

이제 자산 인벤토리 페이지에 특정 소프트웨어를 실행하는 컴퓨터를 선택하고 관심 있는 버전을 지정할 수 있는 필터가 포함됩니다.

또한 Azure Resource Graph Explorer에서 소프트웨어 인벤토리 데이터를 쿼리할 수 있습니다.

이러한 새로운 기능을 사용하려면 엔드포인트용 Microsoft Defender와의 통합을 사용하도록 설정해야 합니다.

Azure Resource Graph에 대한 샘플 Kusto 쿼리를 포함한 자세한 내용은 소프트웨어 인벤토리 액세스를 참조하세요.

위협 및 취약성 솔루션을 사용하도록 설정한 경우 Security Center의 자산 인벤토리에서 설치된 소프트웨어별로 리소스를 선택하는 필터를 제공함

일부 경고 형식의 접두사가 "ARM_"에서 "VM_"으로 변경됨

2021년 7월에 Azure Defender for Resource Manager 경고의 논리적 재구성을 발표했습니다.

일부 Azure Defender 플랜에 대한 논리적 재구성의 일환으로 Azure Defender for Resource Manager에서 서버용 Azure Defender로 21개의 경고를 이동했습니다.

이 업데이트를 통해 이 재할당과 일치하도록 이러한 경고의 접두사를 변경하고 다음 표와 같이 "ARM_"을 "VM_"으로 바꿨습니다.

원래 이름 이 변경에서
ARM_AmBroadFilesExclusion VM_AmBroadFilesExclusion
ARM_AmDisablementAndCodeExecution VM_AmDisablementAndCodeExecution
ARM_AmDisablement VM_AmDisablement
ARM_AmFileExclusionAndCodeExecution VM_AmFileExclusionAndCodeExecution
ARM_AmTempFileExclusionAndCodeExecution VM_AmTempFileExclusionAndCodeExecution
ARM_AmTempFileExclusion VM_AmTempFileExclusion
ARM_AmRealtimeProtectionDisabled VM_AmRealtimeProtectionDisabled
ARM_AmTempRealtimeProtectionDisablement VM_AmTempRealtimeProtectionDisablement
ARM_AmRealtimeProtectionDisablementAndCodeExec VM_AmRealtimeProtectionDisablementAndCodeExec
ARM_AmMalwareCampaignRelatedExclusion VM_AmMalwareCampaignRelatedExclusion
ARM_AmTemporarilyDisablement VM_AmTemporarilyDisablement
ARM_UnusualAmFileExclusion VM_UnusualAmFileExclusion
ARM_CustomScriptExtensionSuspiciousCmd VM_CustomScriptExtensionSuspiciousCmd
ARM_CustomScriptExtensionSuspiciousEntryPoint VM_CustomScriptExtensionSuspiciousEntryPoint
ARM_CustomScriptExtensionSuspiciousPayload VM_CustomScriptExtensionSuspiciousPayload
ARM_CustomScriptExtensionSuspiciousFailure VM_CustomScriptExtensionSuspiciousFailure
ARM_CustomScriptExtensionUnusualDeletion VM_CustomScriptExtensionUnusualDeletion
ARM_CustomScriptExtensionUnusualExecution VM_CustomScriptExtensionUnusualExecution
ARM_VMAccessUnusualConfigReset VM_VMAccessUnusualConfigReset
ARM_VMAccessUnusualPasswordReset VM_VMAccessUnusualPasswordReset
ARM_VMAccessUnusualSSHReset VM_VMAccessUnusualSSHReset

Azure Defender for Resource Manager서버용 Azure Defender 계획에 대해 자세히 알아봅니다.

Kubernetes 클러스터에 대한 보안 권장 사항의 논리 변경

"Kubernetes 클러스터는 기본 네임스페이스를 사용하지 않아야 함" 권장 사항은 리소스 종류 범위에 대한 기본 네임스페이스 사용을 방지합니다. 이 권장 사항에 포함된 두 가지 종류의 리소스인 ConfigMap 및 Secret이 제거되었습니다.

Kubernetes 클러스터에 대한 Azure Policy 이해에서 이 권장 사항과 Kubernetes 클러스터 강화에 대해 자세히 알아보세요.

다양한 권장 사항 간의 관계를 명확히 하기 위해 많은 권장 사항의 세부 정보 페이지에 관련 권장 사항 영역을 추가했습니다.

이 페이지에 표시되는 세 가지 관계 형식은 다음과 같습니다.

  • 필수 조건 - 선택한 권장 사항 전에 완료해야 하는 권장 사항
  • 대안 - 선택한 권장 사항의 목표를 달성하는 다른 방법을 제공하는 다른 권장 사항
  • 종속 - 선택한 권장 사항이 필수 조건인 권장 사항

각 관련 권장 사항에 대해 비정상 리소스의 수가 "영향을 받는 리소스" 열에 표시됩니다.

관련 권장 사항이 회색으로 표시되면 해당 종속성이 아직 완료되지 않았으므로 사용할 수 없습니다.

관련 권장 사항의 예:

  1. Security Center는 지원되는 취약성 평가 솔루션이 있는지 컴퓨터를 확인합니다.
    취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함

  2. 하나가 발견되면 발견된 취약성에 대한 알림을 받게 됩니다.
    가상 머신의 취약성을 수정해야 함

분명히 Security Center는 지원되는 취약성 평가 솔루션을 찾지 않는 한 발견된 취약성에 대해 알릴 수 없습니다.

따라서

  • 권장 사항 #1은 권장 사항 #2의 필수 조건입니다.
  • 권장 사항 #2는 권장 사항 #1에 따라 다릅니다.

취약성 평가 솔루션 배포에 대한 권장 사항의 스크린샷

검색된 취약성 해결에 대한 권장 사항의 스크린샷

Kubernetes용 Azure Defender에 대한 새로운 경고(미리 보기)

Kubernetes용 Azure Defender에서 제공하는 위협 방지를 확장하기 위해 두 가지 미리 보기 경고를 추가했습니다.

이러한 경고는 새로운 기계 학습 모델 및 Kubernetes 고급 분석을 기반으로 생성되며, Azure Defender에서 모니터링하는 모든 클러스터와 클러스터의 이전 작업에 대해 여러 배포 및 역할 할당 특성을 측정합니다.

경고(경고 유형) Description MITRE 전술 심각도
비정상적인 Pod 배포(미리 보기)
(K8S_AnomalousPodDeployment)
Kubernetes 감사 로그 분석에서 이전 Pod 배포 작업을 기반으로 비정상적인 Pod 배포를 발견했습니다. 이 작업은 배포 작업에서 볼 수 있는 다양한 기능이 서로 어떻게 관련되어 있는지를 고려할 때 변칙으로 간주됩니다. 이 분석에 의해 모니터링되는 기능에는 사용된 컨테이너 이미지 레지스트리, 배포를 수행하는 계정, 요일, 이 계정이 Pod 배포를 수행하는 빈도, 작업에 사용된 사용자 에이전트, Pod 배포가 발생하는 네임스페이스인지 여부 및 다른 기능이 포함됩니다. 이 경고를 비정상적인 작업으로 발생시키는 가장 큰 원인은 경고 확장 속성에 자세히 설명되어 있습니다. 실행 중간
Kubernetes 클러스터에 할당된 과도한 역할 권한(미리 보기)
(K8S_ServiceAcountPermissionAnomaly)
Kubernetes 감사 로그를 분석한 결과, 클러스터에 대한 과도한 권한 역할 할당이 감지되었습니다. 역할 할당 검사에서 나열된 권한은 특정 서비스 계정에 일반적이지 않습니다. 이 감지에서는 Azure에서 모니터링하는 클러스터에서 동일한 서비스 계정에 대한 이전 역할 할당, 권한당 볼륨, 특정 권한의 영향을 고려합니다. 이 경고에 사용되는 변칙 검색 모델은 Azure Defender에서 모니터링하는 모든 클러스터에서 이 권한이 사용되는 방식을 고려합니다. 권한 상승 낮음

Kubernetes 경고의 전체 목록은 Kubernetes 클러스터에 대한 경고를 참조하세요.

2021년 9월

9월에 다음 업데이트가 릴리스되었습니다.

Azure 보안 기준 준수를 위해 OS 구성을 감사하기 위한 두 가지 새로운 권장 사항(미리 보기)

컴퓨터가 Windows 보안 기준Linux 보안 기준을 준수하는지 평가하기 위해 다음 두 가지 권장 사항이 발표되었습니다.

이러한 권장 사항은 Azure Policy의 게스트 구성 기능을 사용하여 컴퓨터의 OS 구성을 Azure Security Benchmark에 정의된 기준과 비교합니다.

게스트 구성을 사용하여 컴퓨터의 OS 구성 강화에서 이러한 권장 사항을 사용하는 방법에 대해 자세히 알아보세요.

2021년 8월

8월의 업데이트는 다음과 같습니다.

이제 Azure Defender for Servers에서 Linux에 대한 엔드포인트용 Microsoft Defender 지원(미리 보기)

Azure Defender for Servers에는 엔드포인트용 Microsoft Defender와의 통합 라이선스가 포함되어 있습니다. 또한 포괄적인 EDR(엔드포인트 검색 및 응답) 기능을 제공합니다.

엔드포인트용 Defender는 위협을 감지하면 경고를 트리거합니다. 이 경고는 Security Center에 표시됩니다. Security Center에서 엔드포인트용 Defender 콘솔로 피벗하고 자세히 조사하여 공격 범위를 확인할 수도 있습니다.

미리 보기 기간에는 Windows 머신에 이미 배포했는지 여부에 따라 다음 두 가지 방법 중 하나로 Linux 머신에 Linux 엔드포인트용 Defender 센서를 배포합니다.

Security Center의 통합 EDR 솔루션으로 엔드포인트를 보호: 엔드포인트용 Microsoft Defender를 자세히 알아봅니다.

엔드포인트 보호 솔루션 관리를 위한 두 가지 새로운 권장 사항(미리 보기)

컴퓨터에 엔드포인트 보호 솔루션을 배포하고 유지 관리하기 위한 두 가지 새로운 미리 보기 권장 사항을 추가했습니다. 두 권장 사항에는 Virtual Machines 및 Azure Arc를 사용하도록 설정된 서버에 연결된 머신에 대한 지원이 포함됩니다.

권장 Description 심각도
머신에 Endpoint Protection을 설치해야 함 위협 및 취약성으로부터 머신을 보호하려면 지원되는 엔드포인트 보호 솔루션을 설치합니다.
머신의 Endpoint Protection을 평가하는 방법에 대한 자세한 정보
(관련 정책: Azure Security Center에서 누락된 엔드포인트 보호 모니터링)
높음
머신에서 엔드포인트 보호 상태 문제를 해결해야 함 가상 머신의 엔드포인트 보호 상태 문제를 해결하여 최신 위협 및 취약성으로부터 보호합니다. Azure Security Center 지원 엔드포인트 보호 솔루션은 여기에 설명되어 있습니다. 엔드포인트 보호 평가는 여기에 설명되어 있습니다.
(관련 정책: Azure Security Center에서 누락된 엔드포인트 보호 모니터링)
중간

참고

권장 사항은 새로 고침 간격을 8시간으로 표시하지만, 이 시간이 훨씬 더 오래 걸릴 수 있는 몇 가지 시나리오가 있습니다. 예를 들어, 온-프레미스 머신이 삭제되면 Security Center 삭제를 식별하는 데 24시간이 걸립니다. 그런 다음, 평가에서 정보를 반환하는 데 최대 8시간이 걸립니다. 따라서, 이러한 특정 상황에서는 영향을 받는 리소스 목록에서 컴퓨터를 제거하는 데 32시간이 걸릴 수 있습니다.

두 가지 새로운 Security Center 권장 사항에 대한 새로 고침 간격 표시기

일반적인 문제를 해결하기 위한 기본 제공 문제 해결 및 지침

Azure Portal에 있는 Security Center 페이지의 전용 영역인 A는 Security Center 및 Azure Defender와 관련된 일반적인 문제를 해결하기 위해 지속적으로 증가하는 자가 도움말 자료 세트를 제공합니다.

문제가 발생하거나 지원 팀의 조언을 구하는 경우 문제 진단 및 해결을 통해 솔루션을 찾을 수 있습니다.

Security Center의 '문제 진단 및 해결' 페이지

GA(일반 공급)를 위해 릴리스된 규정 준수 대시보드의 Azure 감사 보고서

규정 준수 대시보드의 도구 모음은 구독에 적용되는 표준에 대한 Azure 및 Dynamics 인증 보고서를 제공합니다.

감사 보고서를 생성하기 위한 단추를 보여주는 규정 준수 대시보드의 도구 모음.

관련 보고서 유형(PCI, SOC, ISO 및 기타)에 대한 탭을 선택하고 필터를 사용하여 필요한 특정 보고서를 찾을 수 있습니다.

자세한 내용은 준수 상태 보고서 및 인증서 생성을 참조하세요.

사용 가능한 Azure 감사 보고서의 탭 목록. ISO 보고서, SOC 보고서, PCI 등에 대한 탭입니다.

'머신에서 Log Analytics 에이전트 상태 문제를 해결해야 함' 권장 사항이 사용 중단됨

머신에서 Log Analytics 에이전트 상태 문제를 해결해야 함 권장 사항이 Security Center의 CSPM(클라우드 보안 상태 관리) 포커스와 일치하지 않는 방식으로 보안 점수에 영향을 줍니다. 일반적으로 CSPM은 잘못된 보안 구성을 식별하는 것과 관련이 있습니다. 에이전트 상태 문제는 이 문제 범주에 맞지 않습니다.

또한 이 권장 사항은 Security Center와 관련된 다른 에이전트와 비교할 때 이례적입니다. 이는 상태 문제와 관련된 권장 사항이 있는 유일한 에이전트입니다.

권장 사항이 더 이상 사용되지 않습니다.

이 사용 중단으로 인해 Log Analytics 에이전트 설치 권장 사항도 약간 변경합니다(Log Analytics 에이전트를 ...에 설치해야 함).

이 변경 내용은 보안 점수에 영향을 줄 수도 있습니다. 대부분의 구독에서는 변경으로 인해 점수가 증가할 것으로 예상하지만, 설치 권장 사항을 업데이트하면 경우에 따라 점수가 저하될 수 있습니다.

자산 인벤토리 페이지는 머신이 모니터링되는지, 모니터링되지 않거나 부분적으로 모니터링되는지(상태 문제가 있는 에이전트를 나타내는 상태)에 대한 정보도 표시하기 때문에 이 변경의 영향을 받습니다.

컨테이너 레지스트리용 Azure Defender에는 Azure Container Registry의 이미지를 검사하는 취약성 스캐너가 포함되어 있습니다. 컨테이너 레지스트리에 Azure Defender 사용하여 이미지에서 취약성 검색에서 레지스트리를 검사하고 결과를 수정하는 방법을 알아봅니다.

Azure Container Registry에서 호스팅되는 레지스트리에 대한 액세스를 제한하려면 레지스트리 엔드포인트에 가상 네트워크 개인 IP 주소를 할당하고 Azure Private Link 를 사용하여 Azure 컨테이너 레지스트리에 비공개로 연결에서 설명한 대로 Azure Private Link를 사용합니다.

추가 환경 및 사용 사례를 지원하기 위한 지속적인 노력의 일환으로 Azure Defender는 이제 Azure Private Link로 보호되는 컨테이너 레지스트리도 검색합니다.

이제 Security Center Azure Policy 게스트 구성 확장을 자동으로 프로비전할 수 있습니다(미리 보기)

Azure Policy는 Azure 및 Arc Connected Machines에서 실행되는 머신 모두에 대해 컴퓨터 내부의 설정을 감사할 수 있습니다. 게스트 구성 확장 및 클라이언트가 유효성 검사를 수행합니다. Azure Policy 게스트 구성 이해에서 자세히 알아보세요.

이 업데이트를 사용하면 지원되는 모든 컴퓨터에 이 확장을 자동으로 프로비저닝하도록 Security Center를 설정할 수 있습니다.

게스트 구성 확장의 자동 배포를 사용하도록 설정합니다.

에이전트 및 확장에 대한 자동 프로비저닝 구성에서 자동 프로비저닝의 작동 방식에 대해 자세히 알아봅니다.

"적용"을 지원하는 Azure Defender 계획을 사용하도록 설정하는 권장 사항

Security Center 새로 만든 리소스가 안전한 방식으로 프로비전되도록 하는 데 도움이 되는 두 가지 기능인 강제 적용거부가 포함되어 있습니다. 권장 사항에서 이러한 옵션을 제공하는 경우, 누군가가 리소스를 생성하려고 할 때마다 보안 요구 사항이 충족되는지 확인할 수 있습니다.

  • 거부는 비정상 리소스 생성을 중지합니다
  • 강제 적용은 리소스를 생성할 때 자동으로 수정을 적용합니다

이 업데이트를 사용하면 권장 사항에서 적용 옵션을 사용하여 Azure Defender 계획을 사용하도록 설정할 수 있습니다(예: App Service용 Azure Defender를 사용하도록 설정해야 하고, Key Vault용 Azure Defender 사용하도록 설정해야 하고, Storage Azure Defender를 사용하도록 설정해야 합니다).

강제 적용/거부 추천 사항을 사용하여 구성 오류 방지에서 자세히 알아보세요.

권장 사항 데이터의 CSV 내보내기는 이제 20MB로 제한됩니다

Security Center 권장 사항 데이터를 내보낼 때 20MB로 제한됩니다.

권장 사항 데이터를 내보내는 Security Center의 'CSV 보고서 다운로드' 단추입니다.

더 많은 양의 데이터를 내보내야 하는 경우 선택하기 전에 사용 가능한 필터를 사용하거나 구독의 하위 집합을 선택하고 데이터를 일괄 처리로 다운로드합니다.

Azure Portal에서 구독 필터링.

보안 권장 사항의 CSV 내보내기를 수행하는 방법에 대해 자세히 알아봅니다.

이제 권장 사항 페이지에 여러 보기가 포함됩니다

이제 권장 사항 페이지에는 리소스와 관련된 권장 사항을 볼 수 있는 대체 방법을 제공하는 두 개의 탭이 있습니다.

  • 보안 점수 권장 사항 - 이 탭을 사용하여 보안 제어별로 그룹화되는 권장 사항 목록을 볼 수 있습니다. 보안 컨트롤 및 해당 권장 사항에서 이러한 컨트롤에 대해 자세히 알아봅니다.
  • 모든 권장 사항 - 이 탭을 사용하여 권장 사항 목록을 플랫 목록으로 볼 수 있습니다. 이 탭은 권장 사항을 생성한 이니셔티브(규정 준수 표준 포함)를 이해하는 데에도 적합합니다. 보안 정책, 이니셔티브 및 권장 사항이란?에서 이니셔티브 및 권장 사항과의 관계에 대해 자세히 알아보세요.

Azure Security Center 권장 사항 목록의 보기를 변경하는 탭.

2021년 7월

7월의 업데이트는 다음과 같습니다.

이제 Azure Sentinel 커넥터에 선택적 양방향 경고 동기화가 포함됩니다(미리 보기)

Security Center는 기본적으로 Azure의 클라우드 네이티브 SIEM 및 SOAR 솔루션인 Azure Sentinel과 통합됩니다.

Azure Sentinel에는 구독 및 테넌트 수준에서 Azure Security Center에 대한 기본 제공 커넥터가 포함되어 있습니다. Azure Sentinel로 경고 스트리밍에서 자세히 알아보세요.

Azure Defender를 Azure Sentinel에 연결하면 Azure Sentinel로 수집된 Azure Defender 경고의 상태가 두 서비스 간에 동기화됩니다. 예를 들어 Azure Defender에서 경고가 닫히면 해당 경고는 Azure Sentinel에서도 닫힘으로 표시됩니다. Azure Defender에서 경고 상태를 변경하면 동기화된 Azure Sentinel 경고를 포함하는 Azure Sentinel 인시던트의 상태에 영향을 미치지 "않고"* 동기화된 경고 자체에만 영향을 미칩니다.

미리 보기 기능인 양방향 경고 동기화를 사용하면 원래 Azure Defender 경고의 상태가 해당 Azure Defender 경고의 복사본이 포함된 Azure Sentinel 인시던트와 자동으로 동기화됩니다. 따라서, 예를 들어 Azure Defender 경고가 포함된 Azure Sentinel 인시던트가 닫히면 Azure Defender가 해당 원본 경고를 자동으로 닫습니다.

자세한 내용은 Azure Security Center에서 Azure Defender 경고 연결을 참조하세요.

Resource Manager 경고에 대한 Azure Defender의 논리적 재구성

아래에 나열된 경고는 Azure Defender for Resource Manager 플랜의 일부로 제공됩니다.

일부 Azure Defender 플랜에 대한 논리적 재구성의 일환으로 Azure Defender for Resource Manager에서 서버용 Azure Defender로 일부 경고를 이동하고 있습니다.

경고는 다음과 같은 두 가지 주요 원칙에 따라 구성됩니다.

  • 여러 Azure 리소스 유형에서 제어 평면 보호를 제공하는 경고는 Azure Defender for Resource Manager에 포함될 예정입니다
  • 특정 워크로드를 보호하는 경고는 해당 워크로드와 관련된 해당 Azure Defender 플랜으로 이동됩니다

이러한 경고는 Azure Defender for Resource Manager에 속하며, 이러한 변경의 결과로 서버용 Azure Defender로 이동됩니다.

  • ARM_AmBroadFilesExclusion
  • ARM_AmDisablementAndCodeExecution
  • ARM_AmDisablement
  • ARM_AmFileExclusionAndCodeExecution
  • ARM_AmTempFileExclusionAndCodeExecution
  • ARM_AmTempFileExclusion
  • ARM_AmRealtimeProtectionDisabled
  • ARM_AmTempRealtimeProtectionDisablement
  • ARM_AmRealtimeProtectionDisablementAndCodeExec
  • ARM_AmMalwareCampaignRelatedExclusion
  • ARM_AmTemporarilyDisablement
  • ARM_UnusualAmFileExclusion
  • ARM_CustomScriptExtensionSuspiciousCmd
  • ARM_CustomScriptExtensionSuspiciousEntryPoint
  • ARM_CustomScriptExtensionSuspiciousPayload
  • ARM_CustomScriptExtensionSuspiciousFailure
  • ARM_CustomScriptExtensionUnusualDeletion
  • ARM_CustomScriptExtensionUnusualExecution
  • ARM_VMAccessUnusualConfigReset
  • ARM_VMAccessUnusualPasswordReset
  • ARM_VMAccessUnusualSSHReset

Azure Defender for Resource Manager서버용 Azure Defender 계획에 대해 자세히 알아봅니다.

ADE(Azure Disk Encryption)를 사용하도록 권장 사항 향상

사용자 피드백에 따라 가상 머신에 디스크 암호화를 적용해야 한다는 권장 사항의 이름을 변경했습니다.

새 권장 사항은 동일한 평가 ID를 사용하며 가상 머신은 컴퓨팅과 Storage 리소스 간의 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 합니다.

이 권장 사항의 용도를 더 잘 설명하기 위해 설명도 업데이트되었습니다.

권장 Description 심각도
가상 머신은 Compute 및 Storage 리소스 간에 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 합니다. 기본적으로 가상 머신의 OS 및 데이터 디스크는 플랫폼 관리형 키를 사용하여 암호화되어 있습니다. 임시 디스크 및 데이터 캐시는 암호화되지 않으며 컴퓨팅 리소스와 스토리지 리소스 간에 흐르는 경우 데이터가 암호화되지 않습니다. 자세한 내용은 Azure의 다양한 디스크 암호화 기술 비교 비교를 참조하세요.
Azure Disk Encryption을 사용하여 이 모든 데이터를 암호화합니다. (1) 호스트에서 암호화 기능을 사용하거나 (2) Managed Disks 서버 쪽 암호화가 보안 요구 사항을 충족하는 경우, 이 권장 사항을 무시합니다. Azure Disk Storage의 서버 쪽 암호화에서 자세히 알아봅니다.
높음

GA(일반 공급)를 위해 릴리스된 보안 점수 및 규정 준수 데이터의 연속 내보내기

연속 내보내기는 사용자 환경의 다른 모니터링 도구를 사용하여 추적하기 위한 보안 경고 및 권장 사항을 내보내는 메커니즘을 제공합니다.

연속 내보내기 설정 시, 내보내기되는 항목과 해당 내보내기 위치를 구성합니다. 연속 내보내기 개요에서 자세히 알아보세요.

시간이 지남에 따라 이 기능이 향상되고 확장되었습니다.

이 업데이트에서는 이러한 두 가지 옵션이 GA(일반 공급)를 위해 릴리스됩니다.

규정 준수 평가 변경 사항으로 워크플로 자동화가 트리거될 수 있습니다(GA)

2021년 2월에, 워크플로 자동화를 위한 트리거 옵션에 세 번째 데이터 유형인 규정 준수 평가 변경 사항 미리보기를 추가했습니다. 규정 준수 평가 변경 사항으로 워크플로 자동화가 트리거될 수 있음(미리 보기)에서 자세히 알아보세요.

이 업데이트를 사용하면 GA(일반 공급)를 위해 이 트리거 옵션이 릴리스됩니다.

Security Center 트리거에 대한 응답 자동화에서 워크플로 자동화 도구를 사용하는 방법에 대해 알아봅니다.

규정 준수 평가에 대한 변경 사항을 사용하여 워크플로 자동화를 트리거합니다.

이제 작업 영역 스키마 및 논리 앱에서 평가 API 필드 'FirstEvaluationDate' 및 'StatusChangeDate'를 사용할 수 있습니다

2021년 5월에 평가 API를 FirstEvaluationDateStatusChangeDate라는 두 개의 새 필드로 업데이트했습니다. 평가 API가 두 개의 새 필드로 확장됨에서 자세히 알아보세요.

이러한 필드는 REST API, Azure Resource Graph, 연속 내보내기 및 CSV 내보내기에서 액세스할 수 있었습니다.

이 변경으로 Log Analytics 작업 영역 스키마 및 논리 앱에서 정보를 사용할 수 있습니다.

3월에는 Security Center 통합 Azure Monitor 통합 문서 환경을 발표했습니다(Security Center에 통합된 Azure Monitor 통합 문서 및 제공된 템플릿 3개 참조).

초기 릴리스에는 조직의 보안 태세에 대한 동적 및 시각적 보고서를 작성하는 세 가지 템플릿이 포함되어 있습니다.

이제 구독이 적용되는 규정 또는 업계 표준을 준수하는지 추적하기 위한 통합 문서가 추가되었습니다.

이러한 보고서를 사용하는 방법 또는 Security Center 데이터에 대한 풍부한 자체 대화형 보고서를 작성하는 방법에 대해 알아보세요.

시간 통합 문서에 따른 Azure Security Center 규정 준수

2021년 6월

6월의 업데이트는 다음과 같습니다.

Key Vault용 Azure Defender의 새 경고

Key Vault용 Azure Defender에서 제공하는 위협 방지 기능을 확장하기 위해 다음과 같은 경고를 추가했습니다.

경고(경고 유형) Description MITRE 전술 심각도
의심스러운 IP 주소에서 Key Vault에 액세스
(KV_SuspiciousIPAccess)
Microsoft 위협 인텔리전스에서 의심스러운 IP 주소로 식별된 IP를 통해 Key Vault에 액세스했습니다. 이것은 인프라가 손상되었음을 나타낼 수 있습니다. 추가 조사가 권장됩니다. Microsoft 위협 인텔리전스 기능에 대해 자세히 알아보세요. 자격 증명 액세스 중간

자세한 내용은 다음을 참조하세요.

CMK(고객 관리형 키)를 사용한 암호화에 대한 권장 사항이 기본적으로 사용하지 않도록 설정됨

Security Center는 고객 관리형 키를 사용하여 미사용 데이터를 암호화하기 위한 다음과 같은 여러 권장 사항을 포함합니다.

  • 컨테이너 레지스트리는 CMK(고객 관리형 키)로 암호화해야 함
  • Azure Cosmos DB 계정은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함
  • Azure Machine Learning 작업 영역은 CMK(고객 관리형 키)를 사용하여 암호화해야 함

Azure의 데이터는 플랫폼 관리형 키를 사용하여 자동으로 암호화되므로 고객 관리형 키는 조직에서 적용하도록 선택한 특정 정책을 준수하는 데 필요한 경우에만 사용해야 합니다.

이와 같이 변경되면서 CMK를 사용하기 위한 권장 사항이 이제 기본적으로 사용하지 않도록 설정됩니다. 조직과 관련된 경우 해당 보안 정책에 대한 Effect 매개 변수를 AuditIfNotExists 또는 Enforce로 변경하여 사용하도록 설정할 수 있습니다. 보안 정책 사용에서 자세히 알아보세요.

이 변경 내용은 다음 예제와 같이 새 접두사 [필요한 경우 사용] 를 사용하여 권장 사항 이름에 반영됩니다.

  • [필요한 경우 사용] 스토리지 계정은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함
  • [필요한 경우 사용] Container Registry를 CMK(고객 관리형 키)로 암호화해야 함
  • [필요한 경우 사용] Azure Cosmos DB 계정은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함

Security Center의 CMK 권장 사항은 기본적으로 사용하지 않도록 설정됩니다.

Kubernetes 경고의 접두사가 "AKS_"에서 "K8S_"로 변경됨

Azure Defender for Kubernetes는 최근에 확장되어 온-프레미스 및 다중 클라우드 환경에서 호스트되는 Kubernetes 클러스터를 보호합니다. Azure Defender for Kubernetes를 사용하여 하이브리드 및 다중 클라우드 Kubernetes 배포 보호(미리 보기)에서 자세히 알아봅니다.

Azure Defender for Kubernetes에서 제공하는 보안 경고가 더 이상 Azure Kubernetes Service의 클러스터로 제한되지 않는 사실을 반영하기 위해 경고 유형의 접두사를 "AKS_"에서 "K8S_"로 변경했습니다. 필요한 경우 이름과 설명도 업데이트되었습니다. 예를 들면 다음과 같습니다.

경고(경고 유형) Description
Kubernetes 침투 테스트 도구가 감지됨
(AKS_PenTestToolsKubeHunter)
Kubernetes 감사 로그를 분석한 결과, AKS 클러스터에서 Kubernetes 침투 테스트 도구의 사용이 감지되었습니다. 이 동작은 합법적일 수 있지만, 공격자가 이러한 공용 도구를 악의적인 목적으로 사용할 수 있습니다.

이 내용이 다음으로 변경되었습니다.

경고(경고 유형) Description
Kubernetes 침투 테스트 도구가 감지됨
(K8S_PenTestToolsKubeHunter)
Kubernetes 감사 로그를 분석한 결과, Kubernetes 클러스터에서 Kubernetes 침투 테스트 도구의 사용이 감지되었습니다. 이 동작은 합법적일 수 있지만, 공격자가 이러한 공용 도구를 악의적인 목적으로 사용할 수 있습니다.

"AKS_"로 시작하는 경고를 참조하는 모든 제거 규칙은 자동으로 변환되었습니다. SIEM 내보내기 또는 경고 유형별 Kubernetes 경고를 참조하는 사용자 지정 자동화 스크립트를 설정한 경우 새 경고 유형으로 업데이트해야 합니다.

Kubernetes 경고의 전체 목록은 Kubernetes 클러스터에 대한 경고를 참조하세요.

"시스템 업데이트 적용" 보안 제어의 두 가지 권장 사항이 더 이상 사용되지 않음

다음 두 가지 권장 사항은 더 이상 사용되지 않습니다.

  • 클라우드 서비스 역할에 대해 OS 버전을 업데이트해야 함 - 기본적으로 Azure는 Windows Server 2016과 같이 게스트 OS를 서비스 구성(.cscfg)에서 지정한 OS 제품군 내에서 지원되는 최신 이미지로 주기적으로 업데이트합니다.
  • Kubernetes 서비스를 취약하지 않은 Kubernetes 버전으로 업그레이드해야 함 - 이 권장 사항의 평가는 원하는 만큼 광범위하지 않습니다. 권장 사항을 보안 요구 사항에 부합하는 향상된 버전으로 바꿀 예정입니다.

2021년 5월

5월의 업데이트는 다음과 같습니다.

DNS 및 Resource Manager용 Azure Defender가 GA(일반 공급)용으로 출시

이러한 두 클라우드 네이티브 범위 위협 보호 플랜은 이제 GA입니다.

이러한 새로운 보호 기능은 위협 행위자의 공격에 대한 복원력을 크게 향상시키고 Azure Defender로 보호되는 Azure 리소스의 수를 크게 늘립니다.

이러한 계획을 사용하도록 설정하는 프로세스를 간소화하려면 다음 권장 사항을 사용합니다.

  • Azure Defender for Resource Manager를 사용하도록 설정해야 함
  • Azure Defender for DNS를 사용하도록 설정해야 함

참고

Azure Defender 계획을 사용하도록 설정하면 요금이 청구됩니다. Security Center의 가격 책정 페이지에서 지역별 가격 정보에 대해 알아봅니다.

오픈 소스 관계형 데이터베이스용 Azure Defender가 GA(일반 공급)용으로 출시

Azure Security Center에서 오픈 소스 관계형 데이터베이스를 포괄하는 새 번들로 SQL 보호에 대한 제안을 확장합니다.

  • Azure SQL 데이터베이스 서버용 Azure Defender - Azure 네이티브 SQL Server 방어
  • 머신의 SQL 서버용 Azure Defender - 하이브리드, 다중 클라우드 및 온-프레미스 환경의 SQL 서버로 동일한 보호를 확장합니다.
  • 오픈 소스 관계형 데이터베이스용 Azure Defender - Azure Databases for MySQL, PostgreSQL 및 MariaDB 단일 서버를 방어합니다.

오픈 소스 관계형 데이터베이스용 Azure Defender는 서버의 보안 위협을 지속적으로 모니터링하고 Azure Database for MySQL, PostgreSQL 및 MariaDB에 대한 잠재적 위협을 나타내는 비정상적인 데이터베이스 활동을 검색합니다. 몇 가지 예는 다음과 같습니다.

  • 무차별 암호 대입 공격 탐지 - 오픈 소스 관계형 데이터베이스용 Azure Defender는 성공적으로 시도된 무차별 암호 대입 공격에 대한 자세한 정보를 제공합니다. 이를 통해 사용자 환경에 대한 공격의 특성과 상태를 보다 완전하게 이해함으로써 추가적으로 조사하고 대응할 수 있습니다.
  • 동작 경고 검색 - 오픈 소스 관계형 데이터베이스용 Azure Defender는 데이터베이스에 대한 달라진 액세스 패턴 등, 서버의 의심스럽고 예기치 않은 동작을 경고합니다.
  • 위협 인텔리전스 기반 검색 - Azure Defender는 Microsoft의 위협 인텔리전스 및 방대한 기술 자료를 적용하여 위협 경고를 표면화함으로써 조치를 취할 수 있도록 합니다.

오픈 소스 관계형 데이터베이스용 Azure Defender 소개에서 자세히 알아보세요.

Resource Manager용 Azure Defender의 새 경고

Resource Manager용 Azure Defender에서 제공하는 위협 방지 기능을 확장하기 위해 다음과 같은 경고를 추가했습니다.

경고(경고 유형) Description MITRE 전술 심각도
Azure 환경에 대해 비정상적인 방식으로 RBAC 역할에 대해 사용 권한이 부여됨(미리 보기)
(ARM_AnomalousRBACRoleAssignment)
Resource Manager용 Azure Defender가 할당 시간, 할당자 위치, 할당자, 인증 방법, 할당된 엔터티, 사용되는 클라이언트 소프트웨어, 할당 익스텐트 등의 변칙으로 인해 테넌트의 동일한 담당자에 대해 동일한 할당자가 수행한 다른 할당과 비교할 때 일반적이지 않은 RBAC 역할 할당을 감지했습니다. 조직의 합법적인 사용자가 이 작업을 수행했을 수 있습니다. 또는 조직의 계정이 위반되었으며 위협 행위자가 소유한 추가 사용자 계정에 사용 권한을 부여하려고 시도하고 있음을 나타낼 수 있습니다. 수평 이동, 방어 우회 중간
구독에 대해 권한 있는 사용자 지정 역할이 의심스러운 방식으로 생성됨(미리 보기)
(ARM_PrivilegedRoleDefinitionCreation)
Resource Manager용 Azure Defender가 구독에서 의심스러운 방식으로 생성된 권한 있는 사용자 지정 역할 정의를 감지했습니다. 조직의 합법적인 사용자가 이 작업을 수행했을 수 있습니다. 또는 조직의 계정이 위반되었으며 위협 행위자가 나중에 우회하는 데 사용할 권한 있는 역할을 만들려고 하는 것임을 나타낼 수 있습니다. 수평 이동, 방어 우회 낮음
의심스러운 IP 주소의 Azure Resource Manager 작업
(ARM_OperationFromSuspiciousIP)
Resource Manager용 Azure Defender가 위협 인텔리전스 피드에서 의심스러운 것으로 표시된 IP 주소의 작업을 감지했습니다. 실행 중간
의심스러운 프록시 IP 주소의 Azure Resource Manager 작업(미리 보기)
(ARM_OperationFromSuspiciousProxyIP)
Resource Manager용 Azure Defender가 TOR과 같은 프록시 서비스와 연결된 IP 주소의 리소스 관리 작업을 감지했습니다. 이 동작은 합법적일 수 있지만, 위협 행위자가 원본 IP를 숨기려고 하는 악의적인 활동에서 나타나는 경우가 많습니다. 방어 회피 중간

자세한 내용은 다음을 참조하세요.

GitHub 워크플로 및 Azure Defender를 사용한 컨테이너 이미지의 CI/CD 취약성 검색(미리 보기)

이제 DevSecOps 팀은 컨테이너 레지스트리용 Azure Defender를 사용하여 GitHub Action 워크플로를 관찰할 수 있습니다.

Trivy를 활용하는 컨테이너 이미지에 대한 새로운 취약성 검색 기능은 개발자가 컨테이너 레지스트리에 이미지를 푸시하기 전에 컨테이너 이미지의 일반적인 취약성을 검색할 수 있도록 합니다.

컨테이너 검색 보고서는 Azure Security Center에 요약되어 보안 팀이 취약한 컨테이너 이미지의 원본과 해당 이미지가 시작된 워크플로 및 리포지토리를 보다 잘 이해하고 더 나은 인사이트를 얻을 수 있도록 합니다.

CI/CD 워크플로에서 취약한 컨테이너 이미지 식별에서 자세히 알아보세요.

일부 권장 사항에 사용할 수 있는 추가 Resource Graph 쿼리

모든 Security Center 권장 사항에는 쿼리 열기에서 Azure Resource Graph를 사용하여 영향을 받은 리소스의 상태에 대한 정보를 볼 수 있는 옵션이 있습니다. 이 강력한 기능에 대한 자세한 내용은 ARG(Azure Resource Graph) Explorer에서 권장 사항 데이터 검토를 참조하세요.

Security Center에는 VM, SQL Server 및 해당 호스트, 컨테이너 레지스트리에서 보안 취약성을 검사하는 기본 제공 취약성 검사기가 포함되어 있습니다. 결과는 각 리소스 종류에 대한 모든 개별 결과를 단일 보기로 제공하는 권장 사항으로 반환됩니다. 권장 사항은 다음과 같습니다.

  • Azure Container Registry 이미지의 취약성을 수정해야 함(Qualys 제공)
  • 가상 머신의 취약성을 수정해야 함
  • SQL 데이터베이스가 발견한 취약성을 해결해야 함
  • 컴퓨터의 SQL Server는 발견한 취약성을 해결해야 함

이 변경으로 쿼리 열기 단추를 사용하여 보안 결과를 보여 주는 쿼리도 열 수 있습니다.

이제 쿼리 열기 단추에서 취약성 스캐너 관련 권장 사항에 대한 보안 결과를 보여 주는 심층 쿼리에 대한 옵션을 제공함

쿼리 열기 단추는 관련된 다른 권장 사항에 대한 추가 옵션도 제공합니다.

Security Center 취약성 검사기에 대한 자세한 정보:

SQL 데이터 분류 권장 사항 심각도가 변경됨

권장 사항 SQL 데이터베이스에서 중요한 데이터를 분류해야 함의 심각도가 높음에서 낮음으로 변경되었습니다.

이는 향후 변경 내용 페이지에서 발표된 이 권장 사항에 대한 지속적인 변경 내용의 일부입니다.

신뢰할 수 있는 시작 기능을 사용하도록 설정하는 새로운 권장 사항(미리 보기)

Azure는 2세대 VM의 보안을 향상시키기 위한 원활한 방법으로 신뢰할 수 있는 시작을 제공합니다. 신뢰할 수 있는 시작은 지속적인 고급 공격 기술로부터 보호합니다. 신뢰할 수 있는 시작은 독립적으로 사용하도록 설정할 수 있는 몇 가지 조정된 인프라 기술로 구성되어 있습니다. 각 기술은 정교한 위협에 대한 또 다른 방어 계층을 제공합니다. Azure 가상 머신에 대한 신뢰할 수 있는 시작에서 자세히 알아봅니다.

중요

신뢰할 수 있는 시작을 사용하려면 새 가상 머신을 만들어야 합니다. 처음 신뢰할 수 있는 시작을 사용하지 않고 만든 기존 가상 머신에서는 이를 사용할 수 없습니다.

신뢰할 수 있는 시작은 현재 공개 미리 보기로 제공됩니다. 이 미리 보기는 서비스 수준 계약 없이 제공되며 프로덕션 워크로드에는 사용하지 않는 것이 좋습니다. 특정 기능이 지원되지 않거나 기능이 제한될 수 있습니다.

Security Center 권장 사항인 지원되는 가상 머신에서 vTPM을 사용하도록 설정해야 함은 Azure VM에서 vTPM을 사용하고 있는지 확인합니다. 이 가상화된 버전의 하드웨어 신뢰할 수 있는 플랫폼 모듈은 VM의 전체 부팅 체인(UEFI, OS, 시스템 및 드라이버)을 측정하여 증명을 사용하도록 설정합니다.

vTPM을 사용하도록 설정하면 게스트 증명 확장이 원격으로 보안 부팅의 유효성을 검사할 수 있습니다. 다음 권장 사항은 이 확장이 배포되었는지 확인합니다.

  • 지원되는 Windows 가상 머신에서 보안 부팅을 사용하도록 설정해야 함
  • 지원되는 Windows 가상 머신에 게스트 증명 확장을 설치해야 함
  • 지원되는 Windows 가상 머신 확장 집합에 게스트 증명 확장을 설치해야 함
  • 지원되는 Linux 가상 머신에 게스트 증명 확장을 설치해야 함
  • 지원되는 Linux 가상 머신 확장 집합에 게스트 증명 확장을 설치해야 함

Azure 가상 머신에 대한 신뢰할 수 있는 시작에서 자세히 알아봅니다.

Kubernetes 클러스터 강화에 대한 새로운 권장 사항(미리 보기)

다음 권장 사항을 통해 Kubernetes 클러스터를 보다 강화할 수 있습니다.

  • Kubernetes 클러스터에서 기본 네임스페이스를 사용하지 않아야 함 - ConfigMap, Pod, Secret, Service 및 ServiceAccount 리소스 종류에 대한 무단 액세스를 방지하려면 Kubernetes 클러스터에서 기본 네임스페이스를 사용하지 않도록 합니다.
  • Kubernetes 클러스터에서 자동 탑재 API 자격 증명을 사용하지 않도록 설정해야 함 - 잠재적으로 손상된 Pod 리소스가 Kubernetes 클러스터에 대해 API 명령을 실행하지 못하도록 하려면 API 자격 증명 자동 탑재를 사용하지 않도록 설정합니다.
  • Kubernetes 클러스터는 CAPSYSADMIN 보안 기능을 부여하지 않아야 함

Security Center가 Security Center의 컨테이너 보안에서 컨테이너화된 환경을 보호하는 방법을 알아봅니다.

평가 API가 두 개의 새 필드로 확장됨

다음 두 필드를 평가 REST API에 추가했습니다.

  • FirstEvaluationDate - 권장 사항이 만들어지고 처음 평가된 시간입니다. ISO 8601 형식의 UTC 시간으로 반환됩니다.
  • StatusChangeDate - 권장 사항의 상태가 마지막으로 변경된 시간입니다. ISO 8601 형식의 UTC 시간으로 반환됩니다.

이러한 필드의 초기 기본값(모든 권장 사항의 경우)은 2021-03-14T00:00:00+0000000Z입니다.

이 정보에 액세스하려면 아래 표의 메서드를 사용할 수 있습니다.

도구 세부 정보
REST API 호출 GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates
Azure Resource Graph securityresources
where type == "microsoft.security/assessments"
연속 내보내기 두 개의 전용 필드는 Log Analytics 작업 영역 데이터에 사용할 수 있습니다.
CSV 내보내기 두 필드가 CSV 파일에 포함됩니다.

평가 REST API에 대해 자세히 알아봅니다.

자산 인벤토리가 클라우드 환경 필터를 가져옴

Security Center의 자산 인벤토리 페이지에는 표시되는 리소스 목록을 신속하게 구체화할 수 있는 다양한 필터가 제공됩니다. 자산 인벤토리로 리소스 탐색 및 관리에서 자세히 알아보세요.

새 필터는 Security Center의 다중 클라우드 기능에 연결한 클라우드 계정에 따라 목록을 구체화하는 옵션을 제공합니다.

인벤토리의 환경 필터

다중 클라우드 기능에 대해 자세히 알아보세요.

2021년 4월

4월의 업데이트는 다음과 같습니다.

새로 고친 리소스 상태 페이지(미리 보기)

Security Center의 리소스 상태가 단일 리소스의 전반적인 상태에 대한 스냅샷 보기를 제공하도록 확장되고 향상되고 개선되었습니다.

리소스에 대한 자세한 정보와 해당 리소스에 적용되는 모든 권장 사항을 검토할 수 있습니다. 또한 Microsoft Defender의 고급 보호 플랜을 사용하는 경우 해당 특정 리소스에 대한 미해결 보안 경고도 볼 수 있습니다.

리소스에 대한 리소스 상태 페이지를 열려면 자산 인벤토리 페이지에서 리소스를 선택합니다.

Security Center 포털 페이지의 이 미리 보기 페이지에는 다음이 표시됩니다.

  1. 리소스 정보 - 리소스 그룹 및 연결된 구독, 지리적 위치 등입니다.
  2. 적용된 보안 기능 - 리소스에 Azure Defender가 설정되어 있는지 여부입니다.
  3. 미해결 권장 사항 및 경고 수 - 미해결 보안 권장 사항 및 Azure Defender 경고의 수입니다.
  4. 실행 가능한 권장 사항 및 경고 - 리소스에 적용되는 권장 사항 및 경고를 나열하는 두 개의 탭입니다.

가상 머신의 상태 정보를 보여 주는 Azure Security Center의 리소스 상태 페이지

자습서: 리소스 상태 조사에서 자세히 알아보세요.

최근 풀한 컨테이너 레지스트리 이미지가 매주 다시 검색됩니다(GA(일반 공급) 용으로 릴리스됨)

컨테이너 레지스트리용 Azure Defender에는 기본 제공 취약성 검사기가 포함되어 있습니다. 이 검사기는 사용자가 레지스트리에 밀어 넣는 이미지 및 지난 30일 이내에 끌어온 이미지를 즉시 검사합니다.

새 취약성은 매일 발견됩니다. 이 업데이트를 사용하면 지난 30일 동안 레지스트리에서 끌어온 컨테이너 이미지가 매주 다시 검사됩니다. 이렇게 하면 이미지에서 새로 발견된 취약점이 식별됩니다.

검사 요금은 이미지별로 청구되므로 이러한 다시 검사에는 추가 요금이 부과되지 않습니다.

컨테이너 레지스트리용 Azure Defender를 사용하여 이미지에서 취약성 검사에서 이 검사기에 대해 자세히 알아보세요.

Azure Defender for Kubernetes를 사용하여 하이브리드 및 다중 클라우드 Kubernetes 배포 보호(미리 보기)

Azure Defender for Kubernetes는 배포되는 위치에 관계없이 클러스터를 보호하도록 위협 방지 기능을 확장하고 있습니다. 이는 Azure Arc 지원 Kubernetes 및 새로운 확장 기능을 통합하여 사용하도록 설정되었습니다.

비 Azure Kubernetes 클러스터에서 Azure Arc를 사용하도록 설정한 경우 Azure Security Center의 새로운 권장 사항은 몇 번의 클릭만으로 Azure Defender 확장을 배포하도록 제안합니다.

권장 사항(Azure Arc 지원 Kubernetes 클러스터에는 Azure Defender의 확장이 설치되어 있어야 함)과 확장을 사용하여 관리되는 Kubernetes 서비스가 아닌 다른 클라우드 공급자에 배포된 Kubernetes 클러스터를 보호합니다.

Azure Security Center, Azure Defender 및 Azure Arc 지원 Kubernetes 간의 이러한 통합은 다음을 제공합니다.

  • 보호되지 않는 Azure Arc 지원 Kubernetes 클러스터에 대한 Azure Defender 확장의 간편한 프로비저닝(수동 및 대규모)
  • Azure Arc 포털에서 Azure Defender 확장 및 해당 프로비저닝 상태 모니터링
  • Security Center의 보안 권장 사항을 Azure Arc 포털의 새 보안 페이지에 보고
  • Azure Defender에서 식별된 보안 위협을 Azure Arc 포털의 새 보안 페이지에 보고
  • Azure Arc 지원 Kubernetes 클러스터를 Azure Security Center 플랫폼 및 환경에 통합

온-프레미스 및 다중 클라우드 Kubernetes 클러스터에서 Azure Defender for Kubernetes 사용에서 자세히 알아보세요.

Azure Arc 사용 Kubernetes 클러스터용 Azure Defender 확장 배포에 대한 Azure Security Center의 권장 사항

Azure Defender와 엔드포인트용 Microsoft Defender 통합은 이제 GA(일반 공급)를 위해 릴리스된 Windows Virtual Desktop에서 Windows Server 2019 및 Windows 10을 지원합니다.

Microsoft Defender for Endpoint는 클라우드에서 제공하는 전체적인 엔드포인트 보안 솔루션입니다. 위험 기반 취약성 관리 및 평가뿐 아니라 엔드포인트 검색 및 응답(EDR)도 제공합니다. Azure Security Center와 Defender for Endpoint를 함께 사용하는 경우의 이점에 대한 전체 목록은 Security Center의 통합 EDR 솔루션 Microsoft Defender for Endpoint로 엔드포인트 보호를 참조하세요.

실행 중인 Windows 서버에서 서버용 Azure Defender를 사용하도록 설정하면 엔드포인트용 Defender용 라이선스가 플랜에 포함됩니다. 서버에 Azure Defender를 사용하도록 이미 설정했고 구독에 Windows Server 2019 서버가 있는 경우 엔드포인트용 Defender가 이 업데이트와 함께 자동으로 수신됩니다. 수동 조치가 필요하지 않습니다.

이제 Windows Virtual Desktop에서 Windows Server 2019 및 Windows 10을 포함하도록 지원이 확장되었습니다.

참고

Windows Server 2019 서버에서 엔드포인트용 Defender를 사용하도록 설정하는 경우 엔드포인트용 Microsoft Defender 통합 사용에 설명된 필수 구성 요소를 충족하는지 확인합니다.

DNS 및 Resource Manager용 Azure Defender를 사용하도록 설정하는 권장 사항(미리 보기)

Azure Defender for Resource ManagerAzure Defender for DNS를 사용하도록 설정하는 프로세스를 간소화하기 위한 두 가지 새로운 권장 사항이 추가되었습니다.

  • Azure Defender for Resource Manager를 사용하도록 설정해야 함 - Defender for Resource Manager는 조직의 리소스 관리 작업을 자동으로 모니터링합니다. Azure Defender는 위협을 감지하고 의심스러운 활동에 대해 경고합니다.
  • Azure Defender for DNS를 사용하도록 설정해야 함 - Defender for DNS는 Azure 리소스의 모든 DNS 쿼리를 지속적으로 모니터링하여 클라우드 리소스에 대한 추가 보호 계층을 제공합니다. Azure Defender는 DNS 계층에서 의심스러운 활동에 대해 경고합니다.

Azure Defender 계획을 사용하도록 설정하면 요금이 청구됩니다. Security Center의 가격 책정 페이지에서 지역별 가격 정보에 대해 알아봅니다.

미리 보기 추천 사항은 리소스를 비정상으로 렌더링하지 않으며 보안 점수 계산에 포함되지 않습니다. 미리 보기 기간이 끝나면 점수에 기여할 수 있도록 가능한 경우 언제든지 수정합니다. Azure Security Center의 추천 사항 수정에서 이러한 추천 사항에 대응하는 방법에 대해 자세히 알아보세요.

Azure CIS 1.3.0, CMMC Level 3 및 뉴질랜드 ISM 제한됨 등 3가지 규정 준수 표준이 추가됨

Azure Security Center와 함께 사용할 수 있도록 3가지 표준을 추가했습니다. 규정 준수 대시보드를 사용하면 이제 다음을 통해 규정 준수를 추적할 수 있습니다.

규정 준수 대시보드의 표준 집합 사용자 지정의 설명대로 이러한 표준을 구독에 할당할 수 있습니다.

Azure Security Center의 규정 준수 대시보드와 함께 사용할 수 있도록 추가된 3가지 표준입니다.

다음에서 자세히 알아보세요.

Azure의 게스트 구성 확장은 가상 머신의 게스트 내 설정이 강화되었는지 확인할 수 있도록 Security Center에 보고합니다. Arc Connected Machine 에이전트에 포함되어 있으므로 Arc 지원 서버에는 확장이 필요하지 않습니다. 확장을 사용하려면 머신에서 시스템 관리 ID가 필요합니다.

이 확장을 최대한 활용하기 위해 네 가지 권장 사항이 Security Center에 새로 추가되었습니다.

  • 확장 및 필요한 시스템 관리 ID를 설치하라는 두 가지 권장 사항:

    • 게스트 구성 확장을 머신에 설치해야 함
    • 가상 머신의 게스트 구성 확장은 시스템이 할당한 관리 ID를 사용하여 배포해야 함
  • 확장이 설치되고 실행되면 컴퓨터에 대한 감사가 시작되고 운영 체제 구성 및 환경 설정과 같은 설정을 강화하라는 메시지가 표시됩니다. 이러한 두 가지 권장 사항은 설명한 대로 Windows 및 Linux 컴퓨터를 강화하라는 메시지를 표시합니다.

    • Windows Defender Exploit Guard를 머신에서 사용하도록 설정해야 함
    • Linux 머신에 대한 인증에 SSH 키가 필요함

Azure Policy 게스트 구성 이해에서 자세히 알아보세요.

CMK 권장 사항이 모범 사례 보안 제어로 이동했습니다.

모든 조직의 보안 프로그램에는 데이터 암호화 요구 사항이 포함되어 있습니다. 기본적으로 Azure 고객의 데이터는 미사용 시 서비스 관리형 키를 사용하여 암호화됩니다. 그러나 CMK(고객 관리형 키)는 일반적으로 규정 준수 표준을 충족하는 데 필요합니다. CMK를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키로 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함한 키 수명 주기에 대한 전체 제어권과 책임은 고객에게 있습니다.

Azure Security Center의 보안 제어는 관련 보안 권장 사항의 논리적 그룹이며, 취약한 공격 표면을 반영합니다. 각 컨트롤에는 모든 리소스의 컨트롤에 나열된 모든 권장 사항에 따라 수정할 경우 보안 점수에 추가될 수 있는 최대 포인트가 있습니다. 보안 모범 사례 구현 보안 제어는 0 포인트의 가치가 있습니다. 따라서 이 컨트롤의 권장 사항은 보안 점수에 영향을 주지 않습니다.

아래에 나열된 권장 사항은 선택적 특성을 더 잘 반영하기 위해 보안 모범 사례 구현 보안 제어로 이동합니다. 이러한 권장 사항이 목표를 달성하는 데 가장 적합한 제어에 있도록 하기 위한 조치입니다.

  • Azure Cosmos DB 계정은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함
  • Azure Machine Learning 작업 영역은 CMK(고객 관리형 키)를 사용하여 암호화해야 함
  • Cognitive Services 계정은 CMK(고객 관리형 키)로 데이터 암호화를 사용하도록 설정해야 함
  • 컨테이너 레지스트리는 CMK(고객 관리형 키)로 암호화해야 함
  • SQL 관리형 인스턴스는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함
  • SQL 서버는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함
  • 스토리지 계정은 암호화에 CMK(고객 관리형 키)를 사용해야 함

보안 컨트롤 및 해당 권장에서 각 보안 제어에 어떤 권장 사항이 있는지 알아보세요.

더 이상 사용되지 않는 11가지 Azure Defender 경고

더 이상 사용되지 않는 11가지 Azure Defender 경고는 다음과 같습니다.

  • 새 경고는 이러한 두 가지 경고를 대체하고 더 나은 적용 범위를 제공합니다.

    AlertType AlertDisplayName
    ARM_MicroBurstDomainInfo 미리 보기 - MicroBurst 도구 키트 "Get-AzureDomainInfo" 함수 실행이 감지됨
    ARM_MicroBurstRunbook 미리 보기 - MicroBurst 도구 키트 "Get-AzurePasswords" 함수 실행이 감지됨
  • 이러한 9가지 경고는 이미 사용되지 않는 Azure Active Directory IPC(ID 보호 커넥터)와 관련이 있습니다.

    AlertType AlertDisplayName
    UnfamiliarLocation 일반적이지 않은 로그인 속성
    AnonymousLogin 익명 IP 주소
    InfectedDeviceLogin 맬웨어 연결 IP 주소
    ImpossibleTravel 비정상적 이동
    MaliciousIP 악성 IP 주소
    LeakedCredentials 유출된 자격 증명
    PasswordSpray 암호 스프레이
    LeakedCredentials Azure AD 위협 인텔리전스
    AADAI Azure AD AI

    이러한 9가지 IPC 경고는 Security Center 경고가 아닙니다. Security Center에 보낸 AAD(Azure Active Directory) IPC(ID 보호 커넥터)의 일부입니다. 지난 2년 동안 이러한 경고를 확인한 고객은 2019년 또는 그 이전에 내보내기(커넥터에서 ASC로)를 구성한 조직뿐입니다. AAD IPC는 이러한 경고를 자체 경고 시스템에 계속 표시했으며 Azure Sentinel에서 계속 사용할 수 있었습니다. 유일한 변경 내용은 Security Center에 더 이상 표시되지 않는다는 것입니다.

"시스템 업데이트 적용" 보안 제어에서 더 이상 사용되지 않는 두 가지 권장 사항

더 이상 사용되지 않는 두 가지 권장 사항은 다음과 같으며, 이러한 변경으로 인해 보안 점수에 약간의 영향을 줄 수 있습니다.

  • 시스템 업데이트를 적용하려면 머신을 다시 시작해야 함
  • 머신에 모니터링 에이전트를 설치해야 합니다. 이 권장 사항은 온-프레미스 컴퓨터에만 관련되며, 해당 논리 중 일부는 다른 권장 사항인 컴퓨터에서 Log Analytics 에이전트 상태 문제를 해결해야 함으로 이전됩니다.

연속 내보내기 및 워크플로 자동화 구성을 확인하여 이러한 권장 사항이 포함되어 있는지 확인하는 것이 좋습니다. 또한 대시보드 또는 이를 사용할 수 있는 기타 모니터링 도구를 적절하게 업데이트해야 합니다.

보안 추천 사항 참조 페이지에서 이러한 권장 사항에 대해 자세히 알아보세요.

Azure Defender 대시보드에서 제거되는 머신 타일의 Azure Defender for SQL

Azure Defender 대시보드의 검사 영역에는 사용자 환경과 관련된 Azure Defender 계획에 대한 타일이 포함되어 있습니다. 보호된 리소스 및 보호되지 않은 리소스의 수를 보고하는 문제로 인해 문제가 해결될 때까지 머신에서 Azure Defender for SQL에 대한 리소스 검사 상태를 일시적으로 제거하기로 결정했습니다.

보안 제어 간에 권장 사항 21개 이동

다음 권장 사항은 다른 보안 제어로 이동했습니다. 보안 제어는 관련 보안 권장 사항의 논리적 그룹이며 취약한 공격 노출 영역을 반영합니다. 이러한 이동은 이러한 각 권장 사항에서 목표를 충족하는 가장 적절한 제어 상태에 있도록 보장합니다.

보안 컨트롤 및 해당 권장에서 각 보안 제어에 어떤 권장 사항이 있는지 알아보세요.

권장 변경 및 영향
SQL 서버에서 취약성 평가를 사용하도록 설정해야 합니다.
SQL 관리형 인스턴스에서 취약성 평가를 사용하도록 설정해야 합니다.
SQL 데이터베이스의 취약성을 수정해야 함 신규
VM의 SQL 데이터베이스 취약성을 수정해야 함
취약성 수정(6점 가치)에서
보안 구성 수정(4점 가치)으로 이동합니다.
사용자 환경에 따라 이러한 권장 사항은 점수에 미치는 영향을 줄일 수 있습니다.
구독에 둘 이상의 소유자를 할당해야 합니다.
자동화 계정 변수를 암호화해야 합니다.
IoT 디바이스 - Auditd 프로세스가 이벤트 전송을 중지함
IoT 디바이스 - 운영 체제 기준 유효성 검사 실패
IoT 디바이스 - TLS 암호화 도구 모음 업그레이드 필요
IoT 디바이스 - 디바이스에서 포트 열기
IoT 디바이스 - 체인 중 하나에서 허용되는 방화벽 정책이 발견됨
IoT 디바이스 - 체인 중 하나에서 허용되는 방화벽 정책이 발견됨
IoT 디바이스 - 출력 체인에서 허용되는 방화벽 규칙이 발견됨
IoT Hub의 진단 로그를 사용하도록 설정해야 합니다.
IoT 디바이스 - 에이전트에서 미달 사용된 메시지를 보내고 있음
IoT 디바이스 - 기본 IP 필터 정책은 거부여야 함
IoT 디바이스 - IP 필터 규칙 큰 IP 범위
IoT 디바이스 - 에이전트 메시지 간격 및 크기를 조정해야 함
IoT 디바이스 - 동일한 인증 자격 증명
IoT 디바이스 - Audited 프로세스가 이벤트 전송을 중지함
IoT 디바이스 - OS(운영 체제) 기준 구성을 수정해야 함
보안 모범 사례 구현으로 이동합니다.
권장 사항이 점수 가치가 없는 보안 모범 사례 구현 보안 제어로 이동하는 경우 해당 권장 사항은 더 이상 보안 점수에 영향을 주지 않습니다.

2021년 3월

3월의 업데이트는 다음과 같습니다.

Security Center에 Azure 방화벽 관리 통합

Azure Security Center를 열 때 처음으로 표시되는 페이지는 개요 페이지입니다.

이 대화형 대시보드는 하이브리드 클라우드 워크로드의 보안 상태에 대한 통합된 보기를 제공합니다. 또한 보안 경고, 적용 범위 정보 등을 보여 줍니다.

중앙 환경에서 보안 상태를 확인하는 데 도움이 될 수 있도록 Azure Firewall Manager를 이 대시보드에 통합했습니다. 이제 모든 네트워크에서 방화벽 검사 상태를 확인하고 Security Center에서 Azure 방화벽 정책을 중앙 집중식으로 관리할 수 있습니다.

Azure Security Center의 개요 페이지에서 이 대시보드에 대해 자세히 알아보세요.

Azure 방화벽에 대한 타일이 포함된 Security Center의 개요 대시보드

이제 SQL 취약성 평가에 "규칙 사용 안 함" 환경(미리 보기) 포함

Security Center에는 잠재적 데이터베이스 취약성을 검색, 추적 및 수정하는 데 도움이 되는 기본 제공 취약점 스캐너가 포함되어 있습니다. 평가 검사의 결과는 SQL 머신의 보안 상태에 대한 개요와 보안 결과에 대한 세부 정보를 제공합니다.

조직에서 결과를 수정하지 않고 무시해야 하는 요구 사항이 있으면 필요에 따라 이 결과를 사용하지 않도록 설정할 수 있습니다. 사용하지 않도록 설정된 결과는 보안 점수에 영향을 주거나 원치 않는 노이즈를 생성하지 않습니다.

특정 결과 사용 안 함에서 자세히 알아보세요.

Security Center에 Azure Monitor 통합 문서를 통합하고 세 가지 템플릿 제공

Ignite Spring 2021에서 Security Center에 통합된 Azure Monitor 통합 문서 환경이 발표된 바 있습니다.

새로운 통합 환경을 활용하여 Security Center 갤러리에서 기본 제공 템플릿 사용을 시작할 수 있습니다. 통합 문서 템플릿을 사용하여 동적 및 시각적 보고서에 액세스하고 이를 작성하여 조직의 보안 상태를 추적할 수 있습니다. 또한 Security Center 데이터 또는 지원되는 기타 데이터 형식을 기반으로 새 통합 문서를 만들고 Security Center의 GitHub 커뮤니티에서 커뮤니티 통합 문서를 빠르게 배포할 수 있습니다.

다음과 같은 세 가지 템플릿 보고서가 제공됩니다.

  • 시간 경과에 따른 보안 점수 - 구독의 점수와 리소스에 대한 권장 사항의 변경 내용 추적
  • 시스템 업데이트 - 리소스, OS, 심각도 등에 따라 누락된 시스템 업데이트 보기
  • 취약성 평가 결과 - Azure 리소스의 취약성 검사 결과 보기

이러한 보고서를 사용하는 방법 또는 Security Center 데이터에 대한 풍부한 자체 대화형 보고서를 작성하는 방법에 대해 알아보세요.

시간 경과에 따른 보안 점수 보고서.

이제 규정 준수 대시보드에 Azure 감사 보고서(미리 보기) 포함

이제 규정 준수 대시보드의 도구 모음에서 Azure 및 Dynamics 인증 보고서를 다운로드할 수 있습니다.

규정 준수 대시보드의 도구 모음

관련 보고서 유형(PCI, SOC, ISO 및 기타)에 대한 탭을 선택하고 필터를 사용하여 필요한 특정 보고서를 찾을 수 있습니다.

규정 준수 대시보드에서 표준을 관리하는 방법에 대해 자세히 알아보세요.

사용 가능한 Azure 감사 보고서 목록을 필터링합니다.

Azure Resource Graph에서 "ARG에서 살펴보기"를 사용하여 권장 사항 데이터 확인 가능

이제 권장 사항 세부 정보 페이지에 "ARG에서 살펴보기" 도구 모음 단추가 포함됩니다. 이 단추를 사용하여 Azure Resource Graph 쿼리를 열고 권장 사항의 데이터를 살펴보고, 내보내고, 공유할 수 있습니다.

ARG(Azure Resource Graph)의 강력한 필터링, 그룹화 및 정렬 기능을 통해 클라우드 환경에서 리소스 정보에 즉시 액세스할 수 있습니다. Azure 구독 간에 프로그래밍 방식으로 또는 Azure Portal 내에서 정보를 쿼리하는 빠르고 효율적인 방법입니다.

ARG(Azure Resource Graph)에 대해 자세히 알아보세요.

Azure Resource Graph에서 권장 사항 데이터 살펴보기

워크플로 자동화 배포에 대한 정책 업데이트

조직의 모니터링 및 인시던트 대응 프로세스를 자동화하면 보안 인시던트를 조사하고 완화하는 데 걸리는 시간을 크게 향상시킬 수 있습니다.

자동화를 조직 전체에 배포할 수 있도록 워크플로 자동화 프로시저를 만들고 구성하는 다음과 같은 세 가지 Azure Policy 'DeployIfNotExist' 정책을 제공합니다.

목표 정책 정책 ID
보안 경고에 대한 워크플로 자동화 Azure Security Center 경고에 대한 워크플로 자동화 배포 f1525828-9a90-4fcf-be48-268cdd02361e
보안 추천 사항에 대한 워크플로 자동화 Azure Security Center 권장 사항에 대한 워크플로 자동화 배포 73d6ab6c-2475-4850-afd6-43795f3492ef
규정 준수 변경에 대한 워크플로 자동화 Azure Security Center 규정 준수에 대한 워크플로 자동화 배포 509122b9-ddd9-47ba-a5f1-d0dac20be63c

이러한 정책의 기능에 대한 두 가지 업데이트가 있습니다.

  • 할당 후 적용하면 활성 상태로 유지됩니다.
  • 이제 이미 배포된 후에도 이러한 정책을 사용자 지정하고 매개 변수를 업데이트할 수 있습니다. 예를 들어 사용자가 다른 평가 키를 추가하거나 기존 평가 키를 편집하려는 경우 그렇게 할 수 있습니다.

워크플로 자동화 템플릿을 시작합니다.

Security Center 트리거에 대한 응답 자동화 방법에 대해 자세히 알아보세요.

두 가지 레거시 권장 사항은 더 이상 Azure 활동 로그에 직접 데이터를 쓰지 않습니다.

Security Center는 거의 모든 보안 권장 사항에 대한 데이터를 Azure Advisor에 전달한 후 Azure 활동 로그에 씁니다.

두 가지 권장 사항의 경우 데이터가 Azure 활동 로그에 동시에 직접 씁니다. 이 변경으로 Security Center는 이러한 레거시 보안 권장 사항에 대한 데이터를 활동 로그에 직접 쓰는 것을 중지합니다. 대신 다른 모든 권장 사항과 마찬가지로 Azure Advisor로 데이터를 내보냅니다.

두 가지 레거시 권장 사항은 다음과 같습니다.

  • 머신에서 엔드포인트 보호 상태 문제를 해결해야 함
  • 머신 보안 구성의 취약성을 수정해야 합니다.

활동 로그의 "TaskDiscovery 유형의 권장 사항" 범주에서 이 두 가지 권장 사항에 대한 정보에 액세스한 경우 이 정보는 더 이상 사용할 수 없습니다.

권장 사항 페이지 개선

더 많은 정보를 한눈에 볼 수 있도록 향상된 버전의 권장 사항 목록이 출시되었습니다.

이제 권장 사항 페이지에 다음 정보가 표시됩니다.

  1. 각 보안 컨트롤의 최고 점수 및 현재 점수
  2. 수정미리 보기와 같은 태그를 대체하는 아이콘
  3. 각 권장 사항과 관련된 정책 이니셔티브를 보여주는 새 열 - "컨트롤 기준 그룹화"를 사용하지 않을 때 표시

Azure Security Center 권장 사항 페이지의 향상된 기능 - 2021년 3월

Azure Security Center 권장 사항 'flat' 목록의 향상된 기능 - 2021년 3월

Azure Security Center의 보안 권장 사항에서 자세히 알아보세요.

2021년 2월

2월의 업데이트는 다음과 같습니다.

GA(일반 공급)를 위해 릴리스된 Azure Portal의 새 보안 경고 페이지

Azure Security Center의 보안 경고 페이지가 다음을 제공하도록 다시 디자인되었습니다.

  • 경고에 대한 향상된 심사 환경 - 경고 피로를 줄이고 가장 관련성이 높은 위협에 더 쉽게 집중하는 데 도움이 됩니다. 목록에는 사용자 지정 가능한 필터 및 그룹화 옵션이 포함되어 있습니다.
  • 경고 목록에 대한 추가 정보 - MITRE ATT&ACK 전술 등.
  • 샘플 알림을 만드는 단추 - Azure Defender 기능을 평가하고 알림을 테스트 구성(SIEM 통합, 이메일 알림 및 워크플로 자동화)을 테스트하기 위해 모든 Azure Defender 계획의 샘플 경고를 만들 수 있습니다.
  • Azure Sentinel의 인시던트 환경에 맞춤 - 이제 두 제품을 사용하는 고객이 두 제품 간에 더 직관적으로 전환할 수 있는 환경이 제공되며, 두 제품을 손쉽게 알아볼 수 있습니다.
  • 대규모 경고 목록의 성능 개선.
  • 경고 목록 키보드 탐색.
  • Azure Resource Graph의 경고 - 모든 리소스에 대한 Kusto 같은 API인 Azure Resource Graph에서 경고를 쿼리할 수 있습니다. 이는 자체 경고 대시보드를 빌드하는 경우에도 유용합니다. Azure Resource Graph에 대한 자세한 정보.
  • 샘플 경고 기능 만들기 - 새 경고 환경에서 샘플 경고를 만들려면 샘플 Azure Defender 경고 생성을 참조하세요.

Azure Security Center의 보안 경고 목록

Kubernetes 워크로드 보호 권장 사항이 GA(일반 공급)로 릴리스됨

Kubernetes 워크로드 보호를 위한 권장 사항 세트가 GA(일반 공급)된다는 것을 발표하게 되어 기쁘게 생각합니다.

Kubernetes 워크로드를 기본적으로 안전하게 보호하기 위해 Security Center에서 Kubernetes 허용 제어가 있는 적용 옵션을 포함하여 Kubernetes 수준 보안 강화 권장 사항이 추가되었습니다.

Kubernetes에 대한 Azure Policy 추가 항목을 AKS(Azure Kubernetes Service) 클러스터에 설치하면 Kubernetes API 서버에 대한 모든 요청이 클러스터에 유지되기 전에 미리 정의된 모범 사례 세트(예: 13개 보안 권장 사항으로 표시됨)에 대해 모니터링됩니다. 그런 다음, 모범 사례를 적용하고 향후 워크로드에 대해 위임하도록 구성할 수 있습니다.

예를 들어 권한 있는 컨테이너를 만들지 않도록 위임할 수 있습니다. 그러면, 이러한 작업에 대한 이후의 모든 요청이 차단됩니다.

Kubernetes 허용 제어를 사용하여 워크로드 보호 모범 사례에서 자세히 알아보세요.

참고

권장 사항은 미리 보기에 있었지만 AKS 클러스터 리소스를 비정상으로 렌더링하지 않았으며 보안 점수 계산에 포함되지 않았습니다. 이제 이러한 권장 사항은 이 GA 알림과 함께 점수 계산에 포함됩니다. 아직 수정하지 않은 경우 보안 점수에 약간의 영향을 줄 수 있습니다. 가능한 경우 Azure Security Center의 권장 사항 수정에서 설명한 대로 이러한 권장 사항을 수정합니다.

Azure Defender와의 엔드포인트용 Microsoft Defender 통합은 이제 Windows Virtual Desktop에서 Windows Server 2019 및 Windows 10을 지원합니다(미리 보기)

Microsoft Defender for Endpoint는 클라우드에서 제공하는 전체적인 엔드포인트 보안 솔루션입니다. 위험 기반 취약성 관리 및 평가뿐 아니라 엔드포인트 검색 및 응답(EDR)도 제공합니다. Azure Security Center와 Defender for Endpoint를 함께 사용하는 경우의 이점에 대한 전체 목록은 Security Center의 통합 EDR 솔루션 Microsoft Defender for Endpoint로 엔드포인트 보호를 참조하세요.

실행 중인 Windows 서버에서 서버용 Azure Defender를 사용하도록 설정하면 엔드포인트용 Defender용 라이선스가 플랜에 포함됩니다. 서버에 Azure Defender를 사용하도록 이미 설정했고 구독에 Windows Server 2019 서버가 있는 경우 엔드포인트용 Defender가 이 업데이트와 함께 자동으로 수신됩니다. 수동 조치가 필요하지 않습니다.

이제 Windows Virtual Desktop에서 Windows Server 2019 및 Windows 10을 포함하도록 지원이 확장되었습니다.

참고

Windows Server 2019 서버에서 엔드포인트용 Defender를 사용하도록 설정하는 경우 엔드포인트용 Microsoft Defender 통합 사용에 설명된 필수 구성 요소를 충족하는지 확인합니다.

권장 사항에 대한 세부 정보를 검토할 때 기본 정책을 볼 수 있으면 도움이 되는 경우가 많습니다. 정책으로 지원되는 모든 권장 사항에는 권장 사항 세부 정보 페이지의 새 링크가 있습니다.

권장 사항을 지원하는 특정 정책에 대한 Azure Policy 페이지로 연결됩니다.

이 링크를 사용하여 정책 정의를 확인하고 평가 논리를 검토합니다.

보안 권장 사항 참조 가이드에서 권장 사항 목록을 검토하는 경우 정책 정의 페이지에 대한 링크도 표시됩니다.

Azure Security Center 권장 사항 참조 페이지에서 직접 특정 정책에 대한 Azure Policy 페이지에 액세스합니다.

SQL 데이터 분류 권장 사항이 더 이상 보안 점수에 영향을 주지 않음

SQL 데이터베이스에서 중요한 데이터를 분류해야 합니다. 권장 사항은 더 이상 보안 점수에 영향을 주지 않습니다. 이는 데이터 분류 적용 보안 제어의 유일한 권장 사항이므로 이제 해당 제어의 보안 점수 값은 0입니다.

Security Center의 모든 보안 컨트롤에 대한 전체 목록과 각 보안 컨트롤의 점수 및 권장 사항 목록은 보안 컨트롤 및 권장 사항을 참조하세요.

규정 준수 평가 변경 사항으로 워크플로 자동화가 트리거될 수 있음(미리 보기)

워크플로 자동화를 위한 트리거 옵션에 세 번째 데이터 유형인 규정 준수 평가 변경 사항을 추가했습니다.

Security Center 트리거에 대한 응답 자동화에서 워크플로 자동화 도구를 사용하는 방법에 대해 알아봅니다.

규정 준수 평가에 대한 변경 사항을 사용하여 워크플로 자동화를 트리거합니다.

자산 인벤토리 페이지 향상

Security Center의 자산 인벤토리 페이지는 다음과 같은 방식으로 개선되었습니다.

  • 이제 페이지 상단의 요약에 등록되지 않은 구독이 포함되어 Security Center가 활성화되지 않은 구독 수를 보여줍니다.

    자산 인벤토리 페이지 상단의 요약에 있는 등록되지 않은 구독 수입니다.

  • 필터는 다음을 포함하도록 확장 및 개선되었습니다.

    • 개수 - 각 필터는 각 범주의 조건을 충족하는 리소스 수를 표시합니다.

      Azure Security Center의 자산 인벤토리 페이지에 있는 필터의 개수입니다.

    • 예외 필터 포함(선택 사항) - 예외가 있거나 없는 리소스로 결과 범위를 좁힙니다. 이 필터는 기본적으로 표시되지 않지만 필터 추가 단추에서 액세스할 수 있습니다.

      Azure Security Center의 자산 인벤토리 페이지에 '예외 포함' 필터 추가

자산 인벤토리로 리소스를 검색 및 관리하는 방법에 대해 자세히 알아보세요.

2021년 1월

1월의 업데이트는 다음과 같습니다.

Azure Security Benchmark는 이제 Azure Security Center의 기본 정책 이니셔티브입니다.

Azure 보안 벤치마크는 일반적인 규정 준수 프레임워크를 기반으로 하는 보안 및 규정 준수 모범 사례에 대해 Microsoft에서 작성한 Azure 관련 지침 세트입니다. 널리 인정받는 이 벤치마크는 클라우드 중심 보안에 초점을 맞춘 CIS(Center for Internet Security)NIST(National Institute of Standards and Technology)의 컨트롤을 기반으로 합니다.

최근 몇 개월 동안 Security Center의 기본 제공 보안 권장 사항 목록은 이 벤치마크의 적용 범위를 확장하기 위해 크게 증가했습니다.

이번 릴리스부터 벤치마크는 Security Center 권장 사항의 기반이 되었으며 기본 정책 이니셔티브로 완전히 통합되었습니다.

모든 Azure 서비스에는 설명서에 보안 기준 페이지가 있습니다. 이러한 기준은 Azure 보안 벤치마크를 기반으로 합니다.

Security Center의 규정 준수 대시보드를 사용하는 경우 전환 기간 동안 두 가지 벤치마크 인스턴스를 볼 수 있습니다.

Azure 보안 벤치마크를 보여주는 Azure Security Center의 규정 준수 대시보드

기존 권장 사항은 영향을 받지 않으며 벤치마크가 증가하면 변경 사항이 Security Center에 자동으로 반영됩니다.

자세히 알아보려면 다음 페이지를 참조하세요.

온-프레미스 및 다중 클라우드 머신의 취약성 평가가 GA(일반 공급)를 위해 릴리스되었습니다.

당사는 10월에 서버용 Azure Defender의 통합 취약성 평가 스캐너(Qualys 기반)로 Azure Arc 사용 서버를 검색하는 기능의 미리 보기를 발표했습니다.

이제 GA(일반 공급)를 위해 릴리스되었습니다.

Azure가 아닌 머신에서 Azure Arc를 사용하도록 설정한 경우 Security Center는 이러한 머신에 통합 취약성 스캐너를 수동 및 대규모로 배포할 수 있습니다.

이번 업데이트를 통해 모든 Azure 및 비-Azure 자산의 취약성 관리 프로그램을 통합하는 서버용 Azure Defender의 강력한 성능을 발휘할 수 있습니다.

주요 기능:

  • Azure Arc 머신의 VA(취약성 평가) 스캐너 프로비저닝 상태 모니터링
  • 보호되지 않는 Windows 및 Linux Azure Arc 머신에 통합 VA 에이전트 프로비저닝(수동 및 대규모로)
  • 배포된 에이전트에서 탐지된 취약성 수신 및 분석(수동 및 대규모로)
  • Azure VM 및 Azure Arc 머신에 대한 통합 환경

하이브리드 컴퓨터에 통합 Qualys 취약성 스캐너 배포에 대해 자세히 알아보세요.

Azure Arc 지원 서버에 대해 자세히 알아보세요.

이제 관리 그룹에 대한 보안 점수를 미리 보기에서 볼 수 있습니다.

이제 보안 점수 페이지에는 구독 수준 외에도 관리 그룹에 대해 집계된 보안 점수가 표시됩니다. 이제 조직의 관리 그룹 목록과 각 관리 그룹의 점수를 볼 수 있습니다.

관리 그룹의 보안 점수 보기.

Azure Security Center의 보안 점수 및 보안 제어에 대해 자세히 알아보세요.

보안 점수 API는 GA(일반 공급)를 위해 릴리스되었습니다.

이제 보안 점수 API를 통해 점수에 액세스할 수 있습니다. API 메서드는 데이터를 쿼리할 수 있는 유연성을 제공하고, 시간 경과에 따른 보안 점수에 대한 사용자 고유의 보고 메커니즘을 빌드합니다. 예를 들면 다음과 같습니다.

  • 보안 점수 API를 사용하여 특정 구독에 대한 점수를 가져옵니다.
  • 보안 점수 제어 API를 사용하여 보안 제어 및 구독의 현재 점수를 나열합니다.

GitHub 커뮤니티의 보안 점수 영역에서 보안 점수 API를 사용하여 가능한 외부 도구에 대해 알아보세요.

Azure Security Center의 보안 점수 및 보안 제어에 대해 자세히 알아보세요.

Azure Defender for App Service에 추가된 현수 DNS 보호

하위 도메인 인수는 조직에 일반적이고 심각도가 높은 위협입니다. 프로비저닝이 해제된 웹 사이트를 가리키는 DNS 레코드가 있는 경우 하위 도메인 인수가 발생할 수 있습니다. 이러한 DNS 레코드는 "현수 DNS" 항목으로도 알려져 있습니다. CNAME 레코드는 특히 이 위협에 취약합니다.

하위 도메인 인수를 통해 위협 행위자는 조직의 도메인에 대한 트래픽을 악의적인 활동을 수행하는 사이트로 리디렉션할 수 있습니다.

이제 앱 서비스 웹 사이트가 해제될 때 Azure Defender for App Service가 현수 DNS 항목을 검색합니다. 이때는 DNS 항목이 존재하지 않는 리소스를 가리키고 웹 사이트가 하위 도메인 인수에 취약한 시점입니다. 이러한 보호는 도메인이 Azure DNS 또는 외부 도메인 등록 기관으로 관리되는지 여부에 관계없이 사용할 수 있고 Windows의 App Service와 Linux의 App Service 모두에 적용합니다.

자세한 정보:

다중 클라우드 커넥터는 GA(일반 공급)용으로 릴리스되었습니다.

클라우드 워크로드가 일반적으로 여러 클라우드 플랫폼에 걸쳐 있는 경우 클라우드 보안 서비스도 동일한 작업을 수행해야 합니다.

Azure Security Center는 Azure, AWS(Amazon Web Services) 및 GCP(Google Cloud Platform)의 워크로드를 보호합니다.

AWS 또는 GCP 프로젝트를 연결하면 AWS Security Hub 및 GCP 보안 명령 센터와 같은 기본 보안 도구를 Azure Security Center에 통합합니다.

이 기능은 Security Center가 모든 주요 클라우드 환경에서 가시성과 보호를 제공함을 의미합니다. 이러한 통합의 이점 중 일부는 다음과 같습니다.

  • 자동 에이전트 프로비저닝 - Security Center가 Azure Arc를 사용하여 AWS 인스턴스에 Log Analytics 에이전트 배포
  • 정책 관리
  • 취약점 관리
  • 포함된 EDR(엔드포인트 검색 및 응답)
  • 잘못된 보안 구성 검색
  • 모든 클라우드 공급자의 보안 권장 사항을 보여주는 단일 보기
  • Security Center의 보안 점수 계산에 모든 리소스 통합
  • AWS 및 GCP 리소스의 규정 준수 평가

클라우드용 Defender의 메뉴에서 다중 클라우드 커넥터를 선택하면 새 커넥터를 만드는 옵션이 표시됩니다.

Security Center 다중 클라우드 커넥터 페이지의 AWS 계정 추가 단추

다음에서 자세히 알아보세요.

구독 및 관리 그룹에 대한 보안 점수에서 전체 권장 사항 제외

전체 권장 사항을 포함하도록 면제 기능을 확장하고 있습니다. Security Center에서 구독, 관리 그룹 또는 리소스에 대해 제공하는 보안 권장 사항을 세부 조정할 수 있는 추가 옵션을 제공합니다.

경우에 따라 Security Center가 검색하지 못한 타사 도구로 문제가 해결되었음을 알고 있는 경우 리소스가 비정상으로 표시됩니다. 또는 해당 영역이 아닌 것으로 생각되는 범위에 권장 사항이 표시됩니다. 권장 사항은 특정 구독에 적합하지 않을 수도 있습니다. 또는 조직에서 특정 리소스 또는 권장 사항과 관련된 위험을 수용하기로 결정했을 수 있습니다.

이 미리 보기 기능으로 이제 다음과 같은 권장 사항에 대한 예외를 만들 수 있습니다.

  • 리소스를 제외하여 향후 비정상적인 리소스에 나열되지 않고 보안 점수에 영향을 주지 않도록 합니다. 리소스가 해당되지 않는 것으로 나열되고 선택한 특정 근거와 함께 이유가 "예외"로 표시됩니다.

  • 권장 사항이 보안 점수에 영향을 주지 않고 향후 구독 또는 관리 그룹에 표시되지 않도록 하려면 구독 또는 관리 그룹을 제외합니다. 이는 기존 리소스와 나중에 만드는 리소스와 관련이 있습니다. 권장 사항은 선택한 범위에 대해 선택한 특정 근거로 표시됩니다.

보안 점수에서 리소스 및 권장 사항 제외에서 자세히 알아보세요.

사용자는 이제 전역 관리자에게 테넌트 전체의 가시성을 요청할 수 있습니다.

사용자에게 Security Center 데이터를 볼 수 있는 권한이 없는 경우 이제 조직의 전역 관리자에게 권한을 요청하는 링크가 표시됩니다. 요청에는 원하는 역할과 필요한 이유에 대한 근거가 포함됩니다.

사용자에게 테넌트 전체의 사용 권한을 요청할 수 있음을 알리는 배너입니다.

사용자 권한이 부족할 때 테넌트 전체 권한 요청에서 자세히 알아보세요.

Azure 보안 벤치마크의 적용 범위를 늘리기 위해 35개의 미리 보기 추천 사항이 추가됨

Azure Security Benchmark는 Azure Security Center의 기본 정책 이니셔티브입니다.

이 벤치마크의 적용 범위를 늘리기 위해 다음 35개의 미리 보기 권장 사항이 Security Center에 추가되었습니다.

미리 보기 추천 사항은 리소스를 비정상으로 렌더링하지 않으며 보안 점수 계산에 포함되지 않습니다. 미리 보기 기간이 끝나면 점수에 기여할 수 있도록 가능한 경우 언제든지 수정합니다. Azure Security Center의 추천 사항 수정에서 이러한 추천 사항에 대응하는 방법에 대해 자세히 알아보세요.

보안 컨트롤 새로운 권장 사항
저장 데이터 암호화 사용 - Azure Cosmos DB 계정은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함
- Azure Machine Learning 작업 영역은 CMK(고객 관리형 키)를 사용하여 암호화해야 함
- MySQL 서버에 대해 BYOK(Bring Your Own Key) 데이터 보호를 사용하도록 설정해야 함
- PostgreSQL 서버에 대해 BYOK(Bring Your Own Key) 데이터 보호를 사용하도록 설정해야 함
- Cognitive Services 계정은 CMK(고객 관리형 키)로 데이터 암호화를 사용하도록 설정해야 함
- 컨테이너 레지스트리는 CMK(고객 관리형 키)로 암호화해야 함
- SQL Managed Instance는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함
- SQL Server는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함
- 스토리지 계정은 암호화에 CMK(고객 관리형 키)를 사용해야 함
보안 모범 사례 구현 - 구독에 보안 문제에 대한 연락처 이메일 주소가 있어야 함
- 구독에 Log Analytics 에이전트의 자동 프로비저닝을 사용하도록 설정해야 함
- 심각도가 높은 경고에 대해 이메일 알림을 사용하도록 설정해야 함
- 심각도가 높은 경고에 대해 구독 소유자에게 이메일 알림을 사용하도록 설정해야 함
- 키 자격 증명 모음에 제거 방지를 사용하도록 설정해야 함
- 키 자격 증명 모음에 일시 삭제를 사용하도록 설정해야 함
액세스 및 사용 권한 관리 - 함수 앱은 '클라이언트 인증서(들어오는 클라이언트 인증서)'를 사용하도록 설정해야 함
DDoS 공격으로부터 애플리케이션 보호 - Application Gateway에 WAF(웹 애플리케이션 방화벽)를 사용하도록 설정해야 함
- WAF(Web Application Firewall)를 Azure Front Door Service 서비스에 사용하도록 설정해야 합니다.
무단 네트워크 액세스 제한 - Key Vault에서 방화벽을 사용하도록 설정해야 함
- Key Vault의 프라이빗 엔드포인트를 구성해야 함
- App Configuration은 프라이빗 링크를 사용해야 함
- Azure Cache for Redis는 가상 네트워크 내에 있어야 함
- Azure Event Grid 도메인은 프라이빗 링크를 사용해야 함
- Azure Event Grid 토픽은 프라이빗 링크를 사용해야 함
- Azure Machine Learning 작업 영역은 프라이빗 링크를 사용해야 함
- Azure SignalR Service는 프라이빗 링크를 사용해야 함
- Azure Spring Cloud는 네트워크 주입을 사용해야 함
- 컨테이너 레지스트리는 무제한 네트워크 액세스를 허용하지 않아야 함
- 컨테이너 레지스트리는 프라이빗 링크를 사용해야 함
- MariaDB 서버에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 함
- MySQL 서버에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 함
- PostgreSQL 서버에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 함
- 스토리지 계정은 프라이빗 링크 연결을 사용해야 함
- 스토리지 계정은 가상 네트워크 규칙을 사용하여 네트워크 액세스를 제한해야 함
- VM Image Builder 템플릿은 프라이빗 링크를 사용해야 함

관련 링크:

필터링된 권장 목록의 CSV 내보내기

2020년 11월에 권장 사항 페이지에 필터를 추가했습니다(이제 권장 목록에 필터가 포함됨). 12월에 이러한 필터를 확장했습니다(권장 사항 페이지에는 환경, 심각도 및 사용 가능한 응답에 대한 새 필터가 있음).

이 공지 사항에서는 CSV로 다운로드 단추의 동작을 변경하여 CSV 내보내기에 현재 필터링된 목록에 표시된 권장 사항만 포함되도록 합니다.

예를 들어 아래 이미지에서 목록이 두 가지 권장 사항으로 필터링된 것을 볼 수 있습니다. 생성된 CSV 파일에는 이러한 두 가지 권장 사항이 적용되는 모든 리소스에 대한 상태 정보가 포함됩니다.

필터링된 권장 사항을 CSV 파일로 내보내기.

Azure Security Center의 보안 권장 사항에서 자세히 알아보세요.

Azure Policy 평가에서 "해당 없음" 리소스가 이제 "준수"로 보고됨

이전에는 권장 사항에 대해 평가되고 해당 없음으로 확인된 리소스는 Azure Policy에 "비규격"으로 표시되었습니다. 어떤 사용자 작업도 상태를 "규정 준수"로 변경할 수 없었습니다. 이 변경으로 명확성을 높이기 위해 "규정 준수"로 보고됩니다.

규정 준수 리소스의 수가 증가하는 Azure Policy에만 영향을 줍니다. Azure Security Center의 보안 점수에는 영향을 주지 않습니다.

연속 내보내기를 통해 보안 점수 및 규정 준수 데이터의 주간 스냅샷 내보내기(미리 보기)

보안 점수 및 규정 준수 데이터의 주간 스냅샷을 내보내기 위한 연속 내보내기 도구에 새로운 미리 보기 기능을 추가했습니다.

연속 내보내기를 정의할 때 내보내기 빈도를 설정합니다.

연속 내보내기의 빈도 선택.

  • 스트리밍 – 리소스의 성능 상태가 업데이트되면 평가를 보냅니다(업데이트되지 않으면 데이터를 보내지 않음).
  • 스냅샷 – 모든 규정 준수 평가의 현재 상태에 대한 스냅샷이 매주 전송됩니다(이는 보안 점수 및 규정 준수 데이터의 주간 스냅샷에 대한 미리 보기 기능임).

Security Center 데이터 연속 내보내기에서 이 기능의 전체 기능에 대해 자세히 알아보세요.

2020년 12월

12월의 업데이트는 다음과 같습니다.

머신의 SQL 서버용 Azure Defender를 일반적으로 사용할 수 있습니다.

Azure Security Center는 SQL Server에 대한 두 가지 Azure Defender 계획을 제공합니다.

  • Azure SQL 데이터베이스 서버용 Azure Defender - Azure 네이티브 SQL Server 방어
  • 머신의 SQL 서버용 Azure Defender - 하이브리드, 다중 클라우드 및 온-프레미스 환경의 SQL 서버로 동일한 보호를 확장합니다.

이 공지를 통해 Azure Defender for SQL은 이제 데이터베이스와 해당 데이터가 어디에 있든 보호합니다.

Azure Defender for SQL에는 취약성 평가 기능이 포함되어 있습니다. 취약성 평가 도구에는 다음과 같은 고급 기능이 포함되어 있습니다.

  • 기본 구성(신규!)을 통해 취약성 검색 결과를 실제 보안 문제를 나타낼 수 있는 결과로 지능적으로 구체화할 수 있습니다. 기본 보안 상태를 설정한 후 취약성 평가 도구는 해당 기준 상태의 편차만 보고합니다. 기준과 일치하는 결과는 후속 검색을 통과한 것으로 간주됩니다. 이를 통해 사용자와 분석가는 중요한 부분에 집중할 수 있습니다.
  • 검색된 결과 및 리소스와 관련된 이유를 이해하는 데 도움이 되는 자세한 벤치마크 정보.
  • 식별된 위험을 완화하는 데 도움이 되는 수정 스크립트.

Azure Defender for SQL에 대해 자세히 알아봅니다.

Azure Synapse Analytics 전용 SQL 풀에 대한 Azure Defender for SQL 지원이 일반적으로 제공됩니다.

Azure Synapse Analytics(이전의 SQL DW)는 엔터프라이즈 데이터 웨어하우징과 빅 데이터 분석을 결합한 분석 서비스입니다. 전용 SQL 풀은 Azure Synapse의 엔터프라이즈 데이터 웨어하우징 기능입니다. Azure Synapse Analytics(이전의 SQL DW)란?에서 자세히 알아봅니다.

Azure Defender for SQL은 다음을 통해 전용 SQL 풀을 보호합니다.

  • 위협 및 공격을 감지하는 지능형 위협 방지
  • 보안 오류를 식별하고 수정하기 위한 취약성 평가 기능

Azure Synapse Analytics SQL 풀에 대한 Azure Defender for SQL의 지원은 Azure Security Center의 Azure SQL 데이터베이스 번들에 자동으로 추가됩니다. Azure Portal의 Synapse 작업 영역 페이지에 새로운 "Azure Defender for SQL" 탭을 찾을 수 있습니다.

Azure Defender for SQL에 대해 자세히 알아봅니다.

전역 관리자는 이제 자신에게 테넌트 수준 권한을 부여할 수 있습니다.

전역 관리자의 Azure Active Directory 역할을 가진 사용자는 테넌트 전체의 책임이 있지만 Azure Security Center에서 해당 조직 전체 정보를 볼 수 있는 Azure 권한은 없습니다.

자신에게 테넌트 수준 사용 권한을 할당하려면 자신에게 테넌트 전체 사용 권한 부여의 지침을 따르세요.

새로운 두 가지 Azure Defender 계획: Azure Defender for DNS 및 Azure Defender for Resource Manager(미리 보기)

Azure 환경을 위한 새로운 두 가지 클라우드 네이티브 너비 위협 방지 기능이 추가되었습니다.

이러한 새로운 보호 기능은 위협 행위자의 공격에 대한 복원력을 크게 향상시키고 Azure Defender로 보호되는 Azure 리소스의 수를 크게 늘립니다.

Azure Portal의 새 보안 경고 페이지(미리 보기)

Azure Security Center의 보안 경고 페이지가 다음을 제공하도록 다시 디자인되었습니다.

  • 경고에 대한 향상된 심사 환경 - 경고 피로를 줄이고 가장 관련성이 높은 위협에 더 쉽게 집중하는 데 도움이 됩니다. 목록에는 사용자 지정 가능한 필터 및 그룹화 옵션이 포함되어 있습니다.
  • 경고 목록에 대한 추가 정보 - MITRE ATT&ACK 전술 등.
  • 샘플 경고를 만드는 단추 - Azure Defender 기능을 평가하고 경고 구성(SIEM 통합, 이메일 알림 및 워크플로 자동화)을 테스트하기 위해 모든 Azure Defender 계획의 샘플 경고를 만들 수 있습니다.
  • Azure Sentinel의 인시던트 환경에 맞춤 - 이제 두 제품을 사용하는 고객이 두 제품 간에 더 직관적으로 전환할 수 있는 환경이 제공되며, 두 제품을 손쉽게 알아볼 수 있습니다.
  • 대규모 경고 목록의 성능 개선
  • 경고 목록 키보드 탐색
  • Azure Resource Graph의 경고 - 모든 리소스에 대한 Kusto 같은 API인 Azure Resource Graph에서 경고를 쿼리할 수 있습니다. 이는 자체 경고 대시보드를 빌드하는 경우에도 유용합니다. Azure Resource Graph에 대한 자세한 정보.

새 환경에 액세스하려면 보안 경고 페이지 맨 위에 있는 배너에서 '지금 사용해 보기' 링크를 사용합니다.

새 미리 보기 경고 환경에 대한 링크가 포함된 배너

새 경고 환경에서 샘플 경고를 만들려면 샘플 Azure Defender 경고 생성을 참조하세요.

Azure SQL Database & SQL Managed Instance의 재활성화된 Security Center 환경

SQL 내의 Security Center 환경은 다음과 같은 Security Center 및 Azure Defender for SQL 기능에 대한 액세스를 제공합니다.

  • 보안 권장 사항 – Security Center는 연결된 모든 Azure 리소스의 보안 상태를 정기적으로 분석하여 잠재적인 보안 구성 오류를 식별합니다. 그런 다음, 이러한 취약성을 해결하고 조직의 보안 태세를 개선하는 방법에 대한 권장 사항을 제공합니다.
  • 보안 경고 - SQL 삽입, 무차별 암호 대입 공격 및 권한 남용 같은 위협에 대해 Azure SQL 활동을 지속적으로 모니터링하는 검색 서비스입니다. 이 서비스는 Security Center에서 세부적이고 작업 지향적인 보안 경고를 트리거하고 Microsoft의 Azure 네이티브 SIEM 솔루션인 Azure Sentinel을 사용하여 지속적으로 조사하기 위한 옵션을 제공합니다.
  • 검색 결과 – Azure SQL 구성을 지속적으로 모니터링하고 취약성을 해결하는 데 도움이 되는 취약성 평가 서비스입니다. 평가 검사는 자세한 보안 결과와 함께 Azure SQL 보안 상태의 개요를 제공합니다.

SQL에 대한 Azure Security Center의 보안 기능은 Azure SQL 내에서 사용할 수 있습니다.

자산 인벤토리 도구 및 필터 업데이트됨

Azure Security Center의 인벤토리 페이지가 다음과 같이 변경되었습니다.

  • 도구 모음에 가이드 및 피드백 추가. 관련 정보 및 도구에 대한 링크가 포함된 창이 열립니다.

  • 리소스에 사용할 수 있는 기본 필터에 구독 필터 추가.

  • 현재 필터 옵션을 Azure Resource Graph 쿼리(이전에는 "리소스 그래프 탐색기에서 보기"라고 함)로 열기 위한 쿼리 열기 링크.

  • 각 필터에 대한 운영자 옵션. 이제 '=' 이외의 추가 논리 연산자에서 선택할 수 있습니다. 예를 들어, 'encrypt(암호화)' 문자열이 있는 제목을 가진 활성 권장 사항이 있는 모든 리소스를 찾을 수 있습니다.

    자산 인벤토리 필터의 운영자 옵션에 대한 컨트롤

자산 인벤토리를 사용하여 리소스 검색 및 관리에서 인벤토리에 대해 자세히 알아보세요.

SSL 인증서를 요청하는 웹앱에 대한 권장 사항은 더 이상 보안 점수에 포함되지 않음

"웹앱에서 들어오는 모든 요청에 대해 SSL 인증서를 요청해야 합니다" 권장 사항이 보안 컨트롤 액세스 및 권한 관리(최대 4포인트 상당)에서 보안 모범 사례 구현(포인트 가치 없음)으로 이동되었습니다.

웹앱에서 인증서를 요청하도록 보장하면 더 안전하게 보호할 수 있습니다. 그러나 공용 웹앱의 경우에는 관련이 없습니다. HTTP를 통해 사이트에 액세스하고 HTTPS를 통해서는 액세스하지 않는 경우 클라이언트 인증서가 제공되지 않습니다. 따라서 애플리케이션에 클라이언트 인증서가 필요한 경우 HTTP를 통한 애플리케이션 요청을 허용해서는 안 됩니다. Azure App Service에 대한 TLS 상호 인증 구성에서 자세히 알아보세요.

이러한 변경으로 권장 사항은 이제 점수에 영향을 주지 않는 권장 모범 사례가 됩니다.

보안 컨트롤 및 해당 권장에서 각 보안 제어에 어떤 권장 사항이 있는지 알아보세요.

권장 사항 페이지에는 환경, 심각도 및 사용 가능한 응답에 대한 새 필터가 있음

Azure Security Center는 연결된 모든 리소스를 모니터링하고 보안 권장 사항을 생성합니다. 이러한 권장 사항을 사용하여 하이브리드 클라우드 상태를 강화하고 조직, 산업 및 국가와 관련된 정책 및 표준 준수 여부를 추적합니다.

Security Center가 범위와 기능을 계속 확장함에 따라 보안 권장 사항 목록이 매월 증가하고 있습니다. 예를 들어, Azure 보안 벤치마크의 적용 범위를 늘리기 위해 29개의 미리 보기 추천 사항이 추가됨을 참조하세요.

목록이 증가함에 따라 가장 관심 있는 권장 사항을 찾기 위해 해당 권장 사항을 필터링해야 합니다. 11월에는 권장 사항 페이지에 필터를 추가했습니다(이제 추천 목록에 필터가 포함됨 참조).

이 달에 추가된 필터는 다음에 따라 추천 목록을 세분화하는 옵션을 제공합니다.

  • 환경 - AWS, GCP 또는 Azure 리소스(또는 모든 조합)에 대한 권장 사항 보기

  • 심각도 - Security Center에 의해 설정된 심각도 분류에 따른 권장 사항 보기

  • 대응 조치 - 수정, 거부 및 적용 등 사용 가능한 Security Center 응답 옵션에 따른 권장 사항 보기

    대응 조치 필터는 빠른 수정 사용 가능(예/아니요) 필터를 대체합니다.

    각각의 대응 옵션에 대해 자세히 알아보세요.

보안 컨트롤별로 그룹화된 권장 사항

연속 내보내기는 새 데이터 형식 및 향상된 deployifnotexist 정책을 가져옴

Azure Security Center의 연속 내보내기 도구를 사용하여 환경의 다른 모니터링 도구와 함께 사용할 Security Center의 권장 사항 및 경고를 내보낼 수 있습니다.

연속 내보내기를 사용하면 내보낼 대상과 위치를 자유롭게 사용자 지정할 수 있습니다. 자세한 내용은 Security Center 데이터 연속 내보내기를 참조하세요.

이러한 도구는 다음과 같은 방법으로 향상되고 확장되었습니다.

  • 연속 내보내기의 deployifnotexist 정책이 향상되었습니다. 현재 정책은

    • 구성을 사용할 수 있는지 여부를 확인합니다. 그렇지 않은 경우 정책은 비준수로 표시되고 준수 리소스를 생성합니다. 연속 내보내기 설정의 "Azure Policy를 사용하여 대규모 배포 탭"에서 제공된 Azure Policy 템플릿에 대해 자세히 알아보세요.

    • 보안 결과 내보내기를 지원합니다. Azure Policy 템플릿을 사용하는 경우 검색 결과를 포함하도록 연속 내보내기를 구성할 수 있습니다. 이는 취약성 평가 스캐너의 검색 결과 또는 '상위' 권장 사항 "시스템 업데이트가 컴퓨터에 설치되어 있어야 합니다."에 대한 특정 시스템 업데이트와 같은 '하위' 권장 사항이 있는 권장 사항을 내보낼 때 관련됩니다.

    • 보안 점수 데이터 내보내기를 지원합니다.

  • 규정 준수 평가 데이터(미리 보기 형식)가 추가되었습니다. 이제 사용자 지정 이니셔티브를 포함하여 규정 준수 평가에 대한 업데이트를 Log Analytics 작업 영역 또는 Event Hub로 지속적으로 내보낼 수 있습니다. 이 기능은 국가적인 클라우드에서 사용할 수 없습니다.

    연속 내보내기 데이터와 함께 규정 준수 평가 정보를 포함하기 위한 옵션

2020년 11월

11월의 업데이트는 다음과 같습니다.

Azure 보안 벤치마크의 적용 범위를 늘리기 위해 29개의 미리 보기 권장 사항 추가됨

Azure 보안 벤치마크는 일반적인 규정 준수 프레임워크를 기반으로 하는 보안 및 규정 준수 모범 사례에 대해 Microsoft에서 작성한 Azure 관련 지침 세트입니다. Azure 보안 벤치마크에 대해 자세히 알아보세요.

이 벤치마크의 적용 범위를 넓히기 위해 다음 29개의 새로운 추천 사항이 Security Center에 추가되었습니다.

미리 보기 추천 사항은 리소스를 비정상으로 렌더링하지 않으며 보안 점수 계산에 포함되지 않습니다. 미리 보기 기간이 끝나면 점수에 기여할 수 있도록 가능한 경우 언제든지 수정합니다. Azure Security Center의 추천 사항 수정에서 이러한 추천 사항에 대응하는 방법에 대해 자세히 알아보세요.

보안 컨트롤 새로운 권장 사항
전송 중인 데이터 암호화 - PostgreSQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다.
- MySQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다.
- TLS를 최신 API 앱 버전으로 업데이트해야 합니다.
- TLS를 최신 함수 앱 버전으로 업데이트해야 합니다.
- TLS를 최신 웹앱 버전으로 업데이트해야 합니다.
- API 앱에서 FTPS를 요구해야 합니다.
- 함수 앱에서 FTPS를 요구해야 합니다.
- 웹앱에서 FTPS를 요구해야 합니다.
액세스 및 사용 권한 관리 - 웹앱에서 들어오는 모든 요청에 대해 SSL 인증서를 요청해야 합니다.
- API 앱에서 관리 ID를 사용해야 합니다.
- 함수 앱에서 관리 ID를 사용해야 합니다.
- 웹앱에서 관리 ID를 사용해야 합니다.
무단 네트워크 액세스 제한 - 프라이빗 엔드포인트를 PostgreSQL 서버에서 사용할 수 있어야 합니다.
- 프라이빗 엔드포인트를 MariaDB 서버에서 사용할 수 있어야 합니다.
- 프라이빗 엔드포인트를 MySQL 서버에서 사용할 수 있어야 합니다.
감사 및 로깅 사용 - App Services에서 진단 로그를 사용하도록 설정해야 합니다.
보안 모범 사례 구현 - Azure Backup을 가상 머신에 사용하도록 설정해야 합니다.
- Azure Database for MariaDB에 대해 지역 중복 백업을 사용하도록 설정해야 합니다.
- Azure Database for MySQL에 대해 지역 중복 백업을 사용하도록 설정해야 합니다.
- Azure Database for PostgreSQL에 대해 지역 중복 백업을 사용하도록 설정해야 합니다.
- PHP를 최신 API 앱 버전으로 업데이트해야 합니다.
- PHP를 최신 웹앱 버전으로 업데이트해야 합니다.
- Java를 최신 API 앱 버전으로 업데이트해야 합니다.
- Java를 최신 함수 앱 버전으로 업데이트해야 합니다.
- Java를 최신 웹앱 버전으로 업데이트해야 합니다.
- Python을 최신 API 앱 버전으로 업데이트해야 합니다.
- Python을 최신 함수 앱 버전으로 업데이트해야 합니다.
- Python을 최신 웹앱 버전으로 업데이트해야 합니다.
- SQL 서버에 대한 감사 보존 기간은 90일 이상으로 설정해야 합니다.

관련 링크:

Security Center의 규정 준수 대시보드에 NIST SP 800 171 R2가 추가됨

NIST SP 800-171 R2 표준은 이제 Azure Security Center의 규정 준수 대시보드에서 사용할 수 있는 기본 이니셔티브로 제공됩니다. 제어에 대한 매핑은 NIST SP 800-171 R2 규정 준수 기본 제공 이니셔티브의 세부 정보에 설명되어 있습니다.

표준을 구독에 적용하고 규정 준수 상태를 지속적으로 모니터링하려면 규정 준수 대시보드의 표준 집합 사용자 지정의 지침을 사용합니다.

Security Center 규정 준수 대시보드의 NIST SP 800 171 R2 표준

이 규정 준수 표준에 대한 자세한 내용은 NIST SP 800-171 R2를 참조하세요.

이제 추천 목록에 필터가 포함됨

이제 일련의 조건에 따라 보안 추천 목록을 필터링할 수 있습니다. 다음 예에서는 다음과 같은 추천을 보여주기 위해 추천 목록이 필터링되었습니다.

  • 일반 공급(즉, 미리 보기 아님)
  • 스토리지 계정에 대한 추천
  • 빠른 수정 수정을 지원하는 추천

추천 목록에 대한 필터

자동 프로비저닝 환경 향상 및 확장

자동 프로비저닝 기능은 신규 및 기존 Azure VM에 필요한 확장을 설치하여 관리 오버헤드를 줄이는 데 도움이 되므로 Security Center의 보호 기능을 활용할 수 있습니다.

Azure Security Center가 성장함에 따라 더 많은 확장이 개발되었으며 보안 센터에서 더 많은 리소스 유형을 모니터링할 수 있습니다. 자동 프로비저닝 도구는 이제 Azure Policy의 기능을 활용하여 다른 확장 및 리소스 종류를 지원하도록 확장되었습니다.

이제 다음 항목의 자동 프로비저닝을 구성할 수 있습니다.

  • Log Analytics 에이전트
  • (신규) Kubernetes에 대한 Azure Policy 추가 기능
  • (신규) Microsoft Dependency Agent

Azure Security Center에서 에이전트 및 확장 자동 프로비저닝에서 자세히 알아보세요.

이제 연속 내보내기(미리 보기)에서 보안 점수를 사용할 수 있습니다.

보안 점수를 지속적으로 내보내면 점수 변경 사항을 Azure Event Hubs 또는 Log Analytics 작업 영역에 실시간으로 스트리밍할 수 있습니다. 이 기능을 사용하여 다음을 수행할 수 있습니다.

  • 동적 보고서로 시간 경과에 따른 보안 점수 추적
  • 보안 점수 데이터를 Azure Sentinel(또는 기타 SIEM)로 내보내기
  • 이 데이터를 조직에서 보안 점수를 모니터링하는 데 이미 사용하고 있을 수 있는 프로세스와 통합

Security Center 데이터를 연속적으로 내보내는 방법에 대해 자세히 알아보세요.

"시스템 업데이트가 컴퓨터에 설치되어 있어야 합니다." 권장 사항이 이제 하위 권장 사항을 포함합니다.

시스템 업데이트가 컴퓨터에 설치되어 있어야 합니다. 권장 사항이 향상되었습니다. 새 버전에는 누락된 각 업데이트에 대한 하위 권장 사항이 포함되어 있으며 다음과 같은 기능이 향상되었습니다.

  • Azure Portal의 Azure Security Center 페이지에서 새롭게 디자인된 환경. 시스템 업데이트는 머신에 설치되어야 합니다에 대한 권장 사항 세부 정보 페이지에는 아래와 같은 결과 목록이 포함되어 있습니다. 단일 찾기를 선택하면 재구성 정보 및 영향을 받는 리소스의 목록에 대한 링크가 포함된 세부 정보 창이 열립니다.

    업데이트된 권장 사항에 대한 포털 환경에서 하위 권장 사항 중 하나 열기

  • ARG(Azure Resource Graph)의 권장 사항에 대한 보강 데이터. ARG는 효율적인 리소스 탐색을 제공하도록 디자인된 Azure 서비스입니다. ARG를 사용하여 사용자 환경을 효과적으로 관리할 수 있도록 지정된 구독 세트에서 대규모로 쿼리할 수 있습니다.

    Azure Security Center의 경우 ARG 및 KQL(Kusto Query Language)을 사용하여 다양한 보안 태세 데이터를 쿼리할 수 있습니다.

    이전에는 ARG에서 이 권장 사항을 쿼리한 경우 권장 사항을 머신에서 수정해야 한다는 정보만 제공되었습니다. 향상된 버전의 다음 쿼리는 누락된 각 시스템 업데이트를 머신별로 그룹화하여 반환합니다.

    securityresources
    | where type =~ "microsoft.security/assessments/subassessments"
    | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27"
    | where properties.status.code == "Unhealthy"
    

이제 기본 정책 할당의 상태를 보여주는 Azure Portal의 정책 관리 페이지

이제 Azure Portal의 Security Center 보안 정책 페이지에서 구독에 기본 Security Center 정책이 할당되었는지 여부를 확인할 수 있습니다.

기본 정책 할당을 보여 주는 Azure Security Center의 정책 관리 페이지

2020년 10월

10월의 업데이트는 다음과 같습니다.

온-프레미스 및 다중 클라우드 머신의 취약성 평가(미리 보기)

서버용 Azure Defender의 통합 취약성 평가 스캐너(Qualys 기반)는 이제 Azure Arc 사용 서버를 검색합니다.

Azure가 아닌 머신에서 Azure Arc를 사용하도록 설정한 경우 Security Center는 이러한 머신에 통합 취약성 스캐너를 수동 및 대규모로 배포할 수 있습니다.

이번 업데이트를 통해 모든 Azure 및 비-Azure 자산의 취약성 관리 프로그램을 통합하는 서버용 Azure Defender의 강력한 성능을 발휘할 수 있습니다.

주요 기능:

  • Azure Arc 머신의 VA(취약성 평가) 스캐너 프로비저닝 상태 모니터링
  • 보호되지 않는 Windows 및 Linux Azure Arc 머신에 통합 VA 에이전트 프로비저닝(수동 및 대규모로)
  • 배포된 에이전트에서 탐지된 취약성 수신 및 분석(수동 및 대규모로)
  • Azure VM 및 Azure Arc 머신에 대한 통합 환경

하이브리드 컴퓨터에 통합 Qualys 취약성 스캐너 배포에 대해 자세히 알아보세요.

Azure Arc 지원 서버에 대해 자세히 알아보세요.

Azure Firewall 권장 사항 추가(미리 보기)

Azure Firewall을 통해 모든 가상 네트워크를 보호하기 위해 새로운 권장 사항이 추가되었습니다.

가상 네트워크는 Azure Firewall로 보호해야 합니다 권장 사항은 Azure Firewall을 사용하여 가상 네트워크에 대한 액세스를 제한하고 잠재적 위협을 차단할 것을 조언합니다.

Azure Firewall에 대해 자세히 알아보세요.

[Kubernetes 서비스에서 권한 있는 IP 범위를 정의해야 함] 권장 사항의 빠른 픽스가 업데이트됨

Kubernetes 서비스에서 권한 있는 IP 범위를 정의해야 함 권장 사항은 이제 빠른 픽스 옵션을 제공합니다.

이 권장 사항 및 기타 모든 Security Center 권장 사항에 대한 자세한 내용은 보안 권장 사항 - 참조 가이드를 참조하세요.

빠른 픽스 옵션을 제공하는 [Kubernetes 서비스에서 권한 있는 IP 범위를 정의해야 함] 권장 사항

이제 규정 준수 대시보드에는 표준을 제거하는 옵션이 포함됨

Security Center의 규정 준수 대시보드는 특정 규정 준수 제어 및 요구 사항을 충족하는 방법에 따라 규정 준수 상태에 대한 인사이트를 제공합니다.

대시보드에는 규정 표준의 기본 세트가 포함되어 있습니다. 제공된 표준이 조직과 관련이 없는 경우 이제 구독에 대한 UI에서 해당 표준을 제거할 수 있는 간단한 프로세스입니다. 표준은 관리 그룹 범위가 아닌 구독 수준에서만 제거할 수 있습니다.

대시보드에서 표준 제거에서 자세히 알아봅니다.

ARG(Azure Resource Graph)에서 Microsoft.Security/securityStatuses 테이블이 제거됨

Azure Resource Graph는 작업 환경을 효과적으로 관리할 수 있도록 특정 구독 세트에서 대규모로 쿼리를 수행할 수 있는 효율적인 리소스 탐색 기능을 제공하도록 디자인된 Azure 서비스입니다.

Azure Security Center의 경우 ARG 및 KQL(Kusto Query Language)을 사용하여 다양한 보안 태세 데이터를 쿼리할 수 있습니다. 예를 들어:

ARG 내에는 쿼리에 사용할 수 있는 데이터 테이블이 들어 있습니다.

Azure Resource Graph Explorer 및 사용 가능한 테이블

ARG 설명서에는 Azure Resource Graph 테이블 및 리소스 종류 참조에서 사용 가능한 모든 테이블이 나열되어 있습니다.

이번 업데이트에서 Microsoft.Security/securityStatuses 테이블이 제거되었습니다. securityStatuses API는 계속 사용할 수 있습니다.

데이터 교체는 Microsoft.Security/Assessments에서 사용할 수 있습니다.

Microsoft.Security/securityStatuses는 평가의 집계를 보여주고 Microsoft.Security/Assessments는 각 평가에 대한 단일 레코드를 포함한다는 것이 가장 큰 차이점입니다.

예를 들어 Microsoft.Security/securityStatuses는 다음과 같은 두 개의 policyAssessments 배열이 포함된 결과를 반환합니다.

{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties:  {
    policyAssessments: [
        {assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
        {assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
    ],
    securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
    name: "GenericResourceHealthProperties",
    type: "VirtualNetwork",
    securitystate: "High"
}

반면 Microsoft.Security/Assessments는 다음과 같이 각 정책 평가에 대한 레코드를 보유합니다.

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties:  {
    resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
    displayName: "Azure DDOS Protection should be enabled",
    status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
    resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
    displayName: "Audit diagnostic setting",
    status:  {code: "Unhealthy"}
}

이제 assessments 테이블을 사용하도록 securityStatuses를 사용하여 기존 ARG 쿼리를 변환하는 예제:

SecurityStatuses를 참조하는 쿼리:

SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails

Assessments 테이블의 대체 쿼리:

securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData

다음 링크에서 자세한 내용을 알아보세요.

2020년 9월

9월의 업데이트는 다음과 같습니다.

Security Center가 새로운 모습으로 바뀌었습니다.

Security Center의 포털 페이지에 대해 새로 고친 UI를 릴리스했습니다. 새 페이지에는 보안 점수, 자산 인벤토리 및 Azure Defender에 대한 새 개요 페이지와 대시보드가 포함됩니다.

다시 설계된 개요 페이지에는 이제 보안 점수, 자산 인벤토리 및 Azure Defender 대시보드에 액세스하기 위한 타일이 있습니다. 또한 규정 준수 대시보드에 연결되는 타일도 있습니다.

개요 페이지에 대해 자세히 알아보세요.

Azure Defender가 릴리스됨

Azure Defender는 Security Center 내부에 통합되어 Azure 및 하이브리드 워크로드에 대한 고급 인텔리전트 보호를 제공하는 CWPP(클라우드 워크로드 보호 플랫폼)입니다. Security Center의 표준 가격 책정 계층 옵션을 대체합니다.

Azure Security Center의 가격 책정 및 설정 영역에서 Azure Defender를 사용하도록 설정하면 다음 Defender 계획이 동시에 사용하도록 설정되어 환경의 컴퓨팅, 데이터 및 서비스 계층에 대한 포괄적인 방어 기능을 제공합니다.

이러한 계획 각각은 Security Center 설명서에서 별도로 설명하고 있습니다.

Azure Defender는 전용 대시보드를 사용하여 가상 머신, SQL 데이터베이스, 컨테이너, 웹 애플리케이션, 네트워크 등에 대한 보안 경고 및 지능형 위협 방지 기능을 제공합니다.

Azure Defender에 대해 자세히 알아보세요.

Key Vault용 Azure Defender가 일반 공급됨

Azure Key Vault는 암호화 키와 비밀(예: 인증서, 연결 문자열 및 암호)을 보호하는 클라우드 서비스입니다.

Key Vault용 Azure Defender는 Azure Key Vault용 Azure 네이티브 Advanced Threat Protection 기능을 통해 추가 보안 인텔리전스 계층을 제공합니다. Key Vault용 Azure Defender는 확장을 통해 결과적으로 Key Vault 계정에 종속된 많은 리소스를 보호합니다.

선택적 계획은 이제 GA입니다. 이 기능은 미리 보기에서 "Azure Key Vault용 Advanced Threat Protection"으로 제공되었습니다.

또한 Azure Portal의 Key Vault 페이지에는 이제 Security Center 추천 사항 및 경고에 대한 전용 보안 페이지가 포함됩니다.

Key Vault용 Azure Defender에서 자세히 알아보세요.

Files 및 ADLS Gen2에 대한 Storage용 Azure Defender 보호가 일반 공급됨

Storage용 Azure Defender는 Azure Storage 계정에서 잠재적으로 유해한 활동을 탐지합니다. Blob 컨테이너, 파일 공유 또는 데이터 레이크로 저장되는지에 관계없이 데이터를 보호할 수 있습니다.

이제 Azure FilesAzure Data Lake Storage Gen2에 대한 지원이 일반 공급됩니다.

2020년 10월 1일부터 이러한 서비스에서 리소스를 보호하는 데 드는 요금이 청구됩니다.

Storage용 Azure Defender에서 자세히 알아보세요.

이제 자산 인벤토리 도구가 일반 공급됨

Azure Security Center의 자산 인벤토리 페이지는 Security Center에 연결한 리소스의 보안 상태를 확인할 수 있는 단일 페이지를 제공합니다.

Security Center는 Azure 리소스의 보안 상태를 정기적으로 분석하여 잠재적인 보안 취약성을 식별합니다. 그런 다음, 이러한 취약성을 수정하는 방법에 대한 추천 사항을 제공합니다.

리소스에 수정되지 않은 추천 사항이 있으면 인벤토리에 표시됩니다.

자산 인벤토리로 리소스 탐색 및 관리에서 자세히 알아보세요.

컨테이너 레지스트리 및 가상 머신 검사에 대한 특정 취약성 결과 사용 안 함

Azure Defender에는 Azure Container Registry 및 가상 머신의 이미지를 검사하는 취약성 스캐너가 포함되어 있습니다.

조직에서 결과를 수정하지 않고 무시해야 하는 요구 사항이 있으면 필요에 따라 이 결과를 사용하지 않도록 설정할 수 있습니다. 사용하지 않도록 설정된 결과는 보안 점수에 영향을 주거나 원치 않는 노이즈를 생성하지 않습니다.

결과가 사용 안 함 규칙에 정의한 조건과 일치하면 검색 결과 목록에 표시되지 않습니다.

이 옵션은 다음에 대한 추천 사항 세부 정보 페이지에서 사용할 수 있습니다.

  • Azure Container Registry 이미지의 취약성을 수정해야 함
  • 가상 머신의 취약성을 수정해야 함

컨테이너 이미지에 대한 특정 결과 사용 안 함가상 머신에 대한 특정 결과 사용 안 함에서 자세히 알아보세요.

권장 사항에서 리소스 제외

경우에 따라 리소스가 특정 추천 사항과 관련하여 비정상 상태가 아니라고 생각하더라도 비정상 상태로 표시됩니다. 이로 인해 보안 점수가 낮아집니다. Security Center에서 추적하지 않는 프로세스를 통해 수정되었을 수 있습니다. 또는 조직에서 특정 리소스에 대한 위험을 감수하기로 결정했을 수도 있습니다.

이러한 경우 예외 규칙을 만들고 나중에 해당 리소스가 비정상 리소스에 나열되지 않도록 할 수 있습니다. 이러한 규칙에는 아래에서 설명한 대로 문서화된 근거가 포함될 수 있습니다.

추천 사항 및 보안 점수에서 리소스 제외에서 자세히 알아보세요.

Security Center의 AWS 및 GCP 커넥터에서 다중 클라우드 환경을 제공함

클라우드 워크로드가 일반적으로 여러 클라우드 플랫폼에 걸쳐 있는 경우 클라우드 보안 서비스도 동일한 작업을 수행해야 합니다.

Azure Security Center는 이제 Azure, AWS(Amazon Web Services) 및 GCP(Google Cloud Platform)에서 워크로드를 보호합니다.

AWS 및 GCP 프로젝트를 Security Center에 온보딩하면 AWS Security Hub, GCP Security Command 및 Azure Security Center가 통합됩니다.

Azure Security Center에 AWS 계정 연결Azure Security Center에 GCP 프로젝트 연결에서 자세히 알아보세요.

Kubernetes 워크로드 보호 추천 사항 번들

Kubernetes 워크로드에서 기본적으로 보안을 유지할 수 있도록 하기 위해 Security Center에서 Kubernetes 허용 제어를 사용하는 적용 옵션을 포함하여 Kubernetes 수준 보안 강화 추천 사항을 추가합니다.

Kubernetes용 Azure Policy 추가 기능을 AKS 클러스터에 설치한 경우 Kubernetes API 서버에 대한 모든 요청은 클러스터에 유지되기 전에 미리 정의된 모범 사례 세트에 대해 모니터링됩니다. 그런 다음, 모범 사례를 적용하고 향후 워크로드에 대해 위임하도록 구성할 수 있습니다.

예를 들어 권한 있는 컨테이너를 만들지 않도록 위임할 수 있습니다. 그러면, 이러한 작업에 대한 이후의 모든 요청이 차단됩니다.

Kubernetes 허용 제어를 사용하여 워크로드 보호 모범 사례에서 자세히 알아보세요.

이제 취약성 평가 결과를 연속 내보내기에서 사용할 수 있음

연속 내보내기를 사용하여 경고 및 권장 사항을 Azure Event Hubs, Log Analytics 작업 영역 또는 Azure Monitor에 스트리밍합니다. 여기서는 이 데이터를 SIEM(예: Azure Sentinel, Power BI, Azure Data Explorer 등)과 통합할 수 있습니다.

Security Center의 통합 취약성 평가 도구는 "가상 머신의 취약성을 수정해야 함"과 같은 '부모' 추천 사항 내에서 리소스에 대한 결과를 실행 가능한 추천 사항으로 반환합니다.

이제 추천 사항을 선택하고 보안 결과 포함 옵션을 사용하도록 설정하면 연속 내보내기를 통해 보안 결과를 내보낼 수 있습니다.

연속 내보내기 구성의 보안 결과 포함 설정/해제

관련 페이지:

새 리소스를 만들 때 추천 사항을 적용하여 보안 구성 오류 방지

보안 구성 오류는 보안 인시던트의 주요 원인입니다. 이제 Security Center에는 특정 추천 사항과 관련하여 새 리소스의 구성 오류를 방지하는 데 도움이 되는 기능이 있습니다.

이 기능을 통해 워크로드를 안전하게 유지하고 보안 점수를 안정화할 수 있습니다.

특정 추천 사항에 따라 보안 구성을 적용하는 방법은 다음 두 가지 모드로 제공됩니다.

  • Azure Policy의 거부 효과를 사용하여 비정상 리소스가 만들어지는 것을 중지할 수 있습니다.

  • 적용 옵션을 사용하여 Azure Policy의 DeployIfNotExist 효과를 활용하고, 비준수 리소스를 만들 때 자동으로 수정할 수 있습니다.

이는 선택한 보안 추천 사항에 사용할 수 있으며 리소스 세부 정보 페이지의 위쪽에서 찾을 수 있습니다.

적용/거부 추천 사항을 사용하여 구성 오류 방지에서 자세히 알아보세요.

네트워크 보안 그룹 추천 사항이 향상됨

일부 가양성 인스턴스를 줄이기 위해 네트워크 보안 그룹과 관련된 다음과 같은 보안 추천 사항이 향상되었습니다.

  • VM에 연결된 NSG에서 모든 네트워크 포트를 제한해야 함
  • 가상 머신에서 관리 포트를 닫아야 합니다.
  • 인터넷 연결 가상 머신은 네트워크 보안 그룹과 함께 보호되어야 합니다.
  • 서브넷을 네트워크 보안 그룹과 연결해야 합니다.

"Kubernetes 서비스에 Pod 보안 정책을 정의해야 합니다."라는 미리 보기 AKS 추천 사항이 더 이상 사용되지 않음

Azure Kubernetes Service 설명서에서 설명한 대로 "Kubernetes Services에서 Pod 보안 정책을 정의해야 합니다."라는 미리 보기 추천 사항이 더 이상 사용되지 않습니다.

Pod 보안 정책(미리 보기) 기능은 더 이상 사용하지 않도록 설정되며, AKS에 대한 Azure Policy에 따라 2020년 10월 15일 이후에는 더 이상 사용할 수 없습니다.

Pod 보안 정책(미리 보기)이 더 이상 사용되지 않는 경우 향후 클러스터 업그레이드를 수행하고 Azure 지원을 유지하려면 더 이상 사용되지 않는 기능을 사용하여 기존 클러스터에서 이 기능을 사용하지 않도록 설정해야 합니다.

Azure Security Center의 이메일 알림이 향상됨

보안 경고와 관련하여 향상된 이메일 영역은 다음과 같습니다.

  • 모든 심각도 수준에 대한 경고와 관련된 이메일 알림을 보내는 기능이 추가되었습니다.
  • 구독에서 다른 Azure 역할의 사용자에게 알리는 기능이 추가되었습니다.
  • 심각도가 높은 경고(진짜 위반일 가능성이 높음)는 기본적으로 구독 소유자에게 사전에 알려줍니다.
  • 이메일 알림 구성 페이지에서 전화 번호 필드가 제거되었습니다.

보안 경고에 대한 이메일 알림 설정에서 자세히 알아보세요.

보안 점수에 미리 보기 추천 사항이 포함되지 않음

Security Center는 리소스, 구독 및 조직의 보안 이슈를 지속적으로 평가합니다. 그런 다음, 현재 보안 상황을 한눈에 파악할 수 있도록 모든 결과를 단일 점수에 집계합니다. 즉, 점수가 높을수록 식별된 위험 수준은 낮습니다.

새 위협이 발견되면 Security Center에서 새 추천 사항을 통해 새로운 보안 제안이 제공됩니다. 보안 점수가 예기치 않게 변경되지 않도록 방지하고 새 추천 사항이 점수에 영향을 주기 전에 이러한 새 추천 사항을 검색할 수 있는 유예 기간을 제공하기 위해 미리 보기 플래그로 지정된 추천 사항은 더 이상 보안 점수 계산에 포함되지 않습니다. 미리 보기 기간이 종료되면 점수에 기여할 수 있도록 가능한 경우 언제든지 수정해야 합니다.

또한 미리 보기 추천 사항은 리소스를 "비정상"으로 렌더링하지 않습니다.

미리 보기 추천 사항의 예는 다음과 같습니다.

미리 보기 플래그가 있는 권장 사항

보안 점수에 대해 자세히 알아보세요.

이제 추천 사항에 심각도 표시기 및 새로 고침 간격이 포함됨

추천 사항에 대한 세부 정보 페이지에는 이제 새로 고침 간격 표시기(관련될 때마다) 및 추천 사항의 심각도에 대한 명확한 표시가 포함됩니다.

새고 고침 및 심각도를 보여 주는 추천 사항 페이지

2020년 8월

8월의 업데이트는 다음과 같습니다.

자산 인벤토리 - 자산의 보안 상태에 대한 강력하고 새로운 보기

Security Center의 자산 인벤토리(현재 미리 보기 상태)는 Security Center에 연결한 리소스의 보안 상태를 확인할 수 있는 방법을 제공합니다.

Security Center는 Azure 리소스의 보안 상태를 정기적으로 분석하여 잠재적인 보안 취약성을 식별합니다. 그런 다음, 이러한 취약성을 수정하는 방법에 대한 추천 사항을 제공합니다. 리소스에 수정되지 않은 추천 사항이 있으면 인벤토리에 표시됩니다.

보기 및 해당 필터를 사용하여 보안 상태 데이터를 검색하고 결과에 따라 추가 작업을 수행할 수 있습니다.

자산 인벤토리에 대해 자세히 알아보세요.

Azure Active Directory 보안 기본값에 대한 지원(다단계 인증용)이 추가됨

Security Center에는 Microsoft의 무료 ID 보안 보호인 보안 기본값에 대한 완전한 지원이 추가되었습니다.

보안 기본값은 일반적인 ID 관련 공격으로부터 조직을 보호하기 위해 미리 구성된 ID 보안 설정을 제공합니다. 보안 기본값은 이미 전체적으로 500만 개 이상의 테넌트를 보호하고 있으며, 5만 개의 테넌트도 Security Center를 통해 보호됩니다.

Security Center는 이제 보안 기본값을 사용하도록 설정되지 않은 Azure 구독을 식별할 때마다 보안 추천 사항을 제공합니다. 지금까지 Security Center는 AD(Azure Active Directory) Premium 라이선스의 일부인 조건부 액세스를 사용하는 다단계 인증을 사용하도록 추천했습니다. Azure AD 체험 라이선스를 사용하는 고객의 경우 이제 보안 기본값을 사용하도록 설정하는 것이 좋습니다.

Microsoft의 목표는 더 많은 고객이 MFA를 사용하여 클라우드 환경을 보호하도록 권장하고, 보안 점수에 가장 큰 영향을 미치는 가장 높은 위험 중 하나를 완화하는 것입니다.

보안 기본값에 대해 자세히 알아보세요.

서비스 주체 추천 사항이 추가됨

관리 인증서를 사용하여 구독을 관리하는 Security Center 고객에게 서비스 주체로 전환하도록 추천하는 새 추천 사항이 추가되었습니다.

관리 인증서 대신 서비스 주체를 사용하여 구독을 보호해야 합니다. 라는 추천 사항은 서비스 주체 또는 Azure Resource Manager를 사용하여 구독을 더 안전하게 관리하도록 추천합니다.

Azure Active Directory의 애플리케이션 및 서비스 주체 개체에 대해 자세히 알아보세요.

VM에 대한 취약성 평가 - 추천 사항과 정책이 통합됨

Security Center는 VM을 검사하여 해당 VM에서 취약성 평가 솔루션을 실행하고 있는지 여부를 검색합니다. 취약성 평가 솔루션을 찾을 수 없는 경우 Security Center는 배포를 간소화하기 위한 추천 사항을 제공합니다.

취약성이 발견되면 Security Center에서 필요에 따라 조사하고 수정할 수 있도록 결과를 요약한 추천 사항을 제공합니다.

사용하는 스캐너 유형에 관계없이 모든 사용자에게 일관된 환경을 보장하기 위해 4가지 추천 사항이 다음 2가지 추천 사항으로 통합되었습니다.

통합 추천 사항 변경 내용 설명
취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 다음 두 가지 추천 사항을 대체합니다.
***** 가상 머신에서 기본 제공 취약성 평가 솔루션 사용(Qualys에서 제공(현재 사용되지 않음)(표준 계층에 포함됨))
***** 가상 머신에 취약성 평가 솔루션을 설치해야 함(현재 사용되지 않음)(표준 및 체험 계층)
가상 머신의 취약성을 수정해야 함 다음 두 가지 추천 사항을 대체합니다.
***** 가상 머신에서 발견한 취약성 수정(Qualys 제공)(현재 사용되지 않음)
***** 취약성 평가 솔루션으로 취약성을 수정해야 함(현재 사용되지 않음)

이제 동일한 추천 사항을 사용하여 Qualys 또는 Rapid7과 같은 파트너로부터 Security Center의 취약성 평가 확장 또는 개인적으로 사용이 허가된 솔루션("BYOL")을 배포합니다.

또한 취약성이 발견되어 Security Center에 보고되면 이를 식별한 취약성 평가 솔루션에 관계없이 단일 추천 사항에서 결과를 알려줍니다.

종속성 업데이트

이전 추천 사항 또는 정책 키/이름을 참조하는 스크립트, 쿼리 또는 자동화가 있는 경우 아래 표를 사용하여 참조를 업데이트합니다.

2020년 8월 이전
권장 Scope
가상 머신에서 기본 제공 취약성 평가 솔루션 사용(Qualys에서 제공)
키: 550e890b-e652-4d22-8274-60b3bdb24c63
기본 제공
가상 머신에서 발견한 취약성 수정(Qualys 제공)
키: 1195afff-c881-495e-9bc5-1486211ae03f
기본 제공
가상 머신에 취약성 평가 솔루션을 설치해야 함
키: 01b1ed4c-b733-4fee-b145-f23236e70cf3
BYOL
취약성 평가 솔루션으로 취약성을 수정해야 합니다.
키: 71992a2a-d168-42e0-b10e-6b45fa2ecddb
BYOL
정책 Scope
가상 머신에서 취약성 평가를 사용하도록 설정해야 함
정책 ID: 501541f7-f7e7-4cd6-868c-4190fdad3ac9
기본 제공
취약성 평가 솔루션으로 취약성을 수정해야 함
정책 ID: 760a85ff-6162-42b3-8d70-698e268f648c
BYOL
2020년 8월부터
권장 Scope
취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함
키: ffff0522-1e88-47fc-8382-2a80ba848f5d
기본 제공 + BYOL
가상 머신의 취약성을 수정해야 함
키: 1195afff-c881-495e-9bc5-1486211ae03f
기본 제공 + BYOL
정책 Scope
가상 머신에서 취약성 평가를 사용하도록 설정해야 함
정책 ID: 501541f7-f7e7-4cd6-868c-4190fdad3ac9
기본 제공 + BYOL

새 AKS 보안 정책이 ASC_default 이니셔티브에 추가됨 - 프라이빗 미리 보기 고객만 사용

Kubernetes 워크로드에서 기본적으로 보안을 유지할 수 있도록 하기 위해 Security Center에서 Kubernetes 허용 제어를 사용하는 적용 옵션을 포함하여 Kubernetes 수준 정책 보안 강화 추천 사항을 추가합니다.

이 프로젝트의 초기 단계에는 프라이빗 미리 보기 및 ASC_default 이니셔티브에 추가된 새 정책(기본적으로 사용 안 함)이 포함됩니다.

이러한 정책은 무시해도 되지만 환경에는 영향을 주지 않습니다. 이러한 정책을 사용하도록 설정하려면 Microsoft Cloud Security Private Community를 통해 미리 보기에 등록하고 다음 옵션 중에서 선택합니다.

  1. 단일 미리 보기 – 이 프라이빗 미리 보기에만 조인합니다. "ASC 연속 검사"를 조인하려는 미리 보기로 명시적으로 언급합니다.
  2. 진행 중인 프로그램 - 현재 및 향후 프라이빗 미리 보기에 추가됩니다. 프로필 및 개인 정보 계약을 완료해야 합니다.

2020년 7월

7월의 업데이트는 다음과 같습니다.

이제 가상 머신에 대한 취약성 평가를 비 마켓플레이스 이미지에 사용할 수 있음

이전에는 취약성 평가 솔루션을 배포할 때 Security Center에서 배포하기 전에 유효성 검사를 수행했습니다. 이 검사는 대상 가상 머신의 마켓플레이스 SKU를 확인하는 것이었습니다.

이 업데이트에서는 검사가 제거되었으며, 이제 취약성 평가 도구를 '사용자 지정' Windows 및 Linux 컴퓨터에 배포할 수 있습니다. 사용자 지정 이미지는 마켓플레이스 기본값에서 수정한 이미지입니다.

이제 통합 취약성 평가 확장(Qualys에서 제공)을 더 많은 컴퓨터에 배포할 수 있지만, 지원은 표준 계층 VM에 통합 취약성 스캐너 배포에 나열된 OS를 사용하는 경우에만 지원을 사용할 수 있습니다.

가상 머신용 통합 취약성 스캐너(Azure Defender 필요)에 대해 자세히 알아보세요.

개인적으로 사용이 허가된 Qualys 또는 Rapid7의 취약성 평가 솔루션을 사용하는 방법은 파트너 취약성 검사 솔루션 배포에서 자세히 알아보세요.

Azure Storage에 대한 위협 방지 기능이 Azure Files 및 Azure Data Lake Storage Gen2(미리 보기)로 확장됨

Azure Storage에 대한 위협 방지는 Azure Storage 계정에서 잠재적으로 유해한 활동을 탐지합니다. Security Center는 스토리지 계정에 액세스하거나 이를 악용하려는 시도를 탐지하면 경고를 표시합니다.

Blob 컨테이너, 파일 공유 또는 데이터 레이크로 저장되는지에 관계없이 데이터를 보호할 수 있습니다.

위협 방지 기능을 사용하도록 설정하기 위한 새로운 8가지 추천 사항

가상 머신, App Service 요금제, Azure SQL Database 서버, 컴퓨터의 SQL 서버, Azure Storage 계정, Azure Kubernetes Service 클러스터, Azure Container Registry 레지스트리 및 Azure Key Vault 자격 증명 모음과 같은 리소스 종류에 대해 Azure Security Center의 위협 방지 기능을 사용하도록 설정하는 간단히 방법을 제공하기 위해 8가지 추천 사항이 새로 추가되었습니다.

새 추천 사항은 다음과 같습니다.

  • Azure SQL Database 서버에서 Advanced Data Security를 사용하도록 설정해야 함
  • 머신의 SQL 서버에서 Advanced Data Security를 사용하도록 설정해야 함
  • Azure App Service 계획에서 지능형 위협 방지를 사용하도록 설정해야 함
  • Azure Container Registry 레지스트리에서 지능형 위협 방지를 사용하도록 설정해야 함
  • Azure Key Vault 자격 증명 모음에서 지능형 위협 방지를 사용하도록 설정해야 함
  • Azure Kubernetes Service 클러스터에서 지능형 위협 방지를 사용하도록 설정해야 함
  • Azure Storage 계정에서 지능형 위협 방지를 사용하도록 설정해야 함
  • Virtual Machines에서 Advanced Threat Protection을 사용하도록 설정해야 함

이러한 새 추천 사항은 Azure Defender 사용 보안 제어에 속합니다.

추천 사항에는 빠른 수정 기능도 포함됩니다.

중요

이러한 추천 사항 중 하나를 수정하면 관련 리소스를 보호하는 데 드는 요금이 청구됩니다. 현재 구독에 관련 리소스가 있는 경우 이러한 청구가 즉시 시작됩니다. 또는 나중에 추가하는 경우가 있습니다.

예를 들어 구독에 Azure Kubernetes Service 클러스터가 없고 위협 방지를 사용하도록 설정하면 요금이 발생하지 않습니다. 나중에 클러스터를 동일한 구독에 추가하면 해당 클러스터가 자동으로 보호되고 해당 시간에 요금이 청구됩니다.

이러한 리소스 각각에 대해 보안 추천 사항 참조 페이지에서 자세히 알아보세요.

Azure Security Center의 위협 방지에 대해 자세히 알아보세요.

컨테이너 보안이 향상됨 - 더 빠른 레지스트리 검사 및 새로 고친 설명서

컨테이너 보안 도메인에 대한 지속적인 투자의 일환으로, Azure Container Registry에 저장된 컨테이너 이미지에 대한 Security Center의 동적 검사에서 상당히 향상된 성능을 공유할 수 있습니다. 이제 검사는 일반적으로 약 2분 안에 완료됩니다. 경우에 따라 최대 15분이 걸릴 수 있습니다.

Azure Security Center의 컨테이너 보안 기능에 대한 명확성과 지침을 향상시키기 위해 컨테이너 보안 문서 페이지도 새로 고쳤습니다.

Security Center의 컨테이너 보안에 대해 다음 문서에서 자세히 알아보세요.

적응형 애플리케이션 제어가 새 추천 사항 및 경로 규칙의 와일드카드 지원으로 업데이트됨

적응형 애플리케이션 제어 기능에는 다음과 같은 두 가지 중요한 업데이트가 제공되었습니다.

  • 새 추천 사항은 이전에 허용되지 않은 잠재적으로 합법적인 동작을 식별합니다. 적응형 애플리케이션 제어 정책의 허용 목록 규칙을 업데이트해야 합니다. 라는 새 추천 사항은 적응형 애플리케이션 제어 위반 경고의 가양성의 수를 줄이기 위해 새 규칙을 기존 정책에 추가하도록 요청합니다.

  • 경로 규칙에서 이제 와일드카드를 지원합니다. 이 업데이트에서는 와일드카드를 사용하여 허용되는 경로 규칙을 구성할 수 있습니다. 지원되는 두 가지 시나리오는 다음과 같습니다.

    • 와일드카드를 경로 끝에 사용하여 이 폴더 및 하위 폴더에 있는 모든 실행 파일 허용

    • 와일드카드를 경로 중간에 사용하여 변경된 폴더 이름(예: 알려진 실행 파일이 있는 개인 사용자 폴더, 자동으로 생성된 폴더 이름 등)으로 알려진 실행 파일 이름을 사용할 수 있도록 설정.

적응형 애플리케이션 제어에 대해 자세히 알아봅니다.

SQL Advanced Data Security에 대한 6가지 정책이 더 이상 사용되지 않음

SQL 컴퓨터의 고급 데이터 보안과 관련된 6가지 정책은 더 이상 사용되지 않습니다.

  • SQL Managed Instance Advanced Data Security 설정에서 Advanced Threat Protection 유형을 '모두'로 설정해야 합니다.
  • SQL Server Advanced Data Security 설정에서 Advanced Threat Protection 유형을 '모두'로 설정해야 합니다.
  • SQL 관리형 인스턴스에 대한 Advanced Data Security 설정에는 보안 경고를 받을 이메일 주소가 포함되어야 합니다.
  • SQL Server에 대한 Advanced Data Security 설정에는 보안 경고를 받을 이메일 주소가 포함되어야 합니다.
  • SQL 관리형 인스턴스 Advanced Data Security 설정에는 관리자 및 구독 소유자에게 이메일 알림을 사용하도록 설정해야 합니다.
  • SQL Server Advanced Data Security 설정에는 관리자 및 구독 소유자에게 이메일 알림을 사용하도록 설정해야 합니다.

기본 제공 정책에 대해 자세히 알아보세요.

2020년 6월

6월의 업데이트는 다음과 같습니다.

보안 점수 API(미리 보기)

이제 보안 점수 API(현재 미리 보기 상태)를 통해 점수에 액세스할 수 있습니다. API 메서드는 데이터를 쿼리할 수 있는 유연성을 제공하고, 시간 경과에 따른 보안 점수에 대한 사용자 고유의 보고 메커니즘을 빌드합니다. 예를 들어 보안 점수 API를 사용하여 특정 구독에 대한 점수를 가져올 수 있습니다. 또한 보안 점수 제어 API를 사용하여 보안 제어 및 구독의 현재 점수를 나열할 수 있습니다.

보안 점수 API를 사용하여 가능한 외부 도구의 예는 GitHub 커뮤니티의 보안 점수 영역을 참조하세요.

Azure Security Center의 보안 점수 및 보안 제어에 대해 자세히 알아보세요.

SQL 컴퓨터(Azure, 기타 클라우드 및 온-프레미스)에 대한 Advanced Data Security(미리 보기)

SQL 컴퓨터에 대한 Azure Security Center의 고급 데이터 보안 기능은 이제 Azure, 다른 클라우드 환경 및 심지어 온-프레미스 컴퓨터에서 호스팅되는 SQL Server를 보호합니다. 이렇게 하면 Azure 네이티브 SQL Server에 대한 보호 기능이 확장되어 하이브리드 환경을 완벽하게 지원합니다.

고급 데이터 보안은 SQL 컴퓨터가 어디에 있든 취약성 평가 및 지능형 위협 방지 기능을 제공합니다.

설정에는 다음 두 가지 단계가 포함됩니다.

  1. Log Analytics 에이전트를 SQL Server의 호스트 컴퓨터에 배포하여 Azure 계정에 대한 연결을 제공합니다.

  2. Security Center의 가격 책정 및 설정 페이지에서 선택적 번들을 사용하도록 설정합니다.

SQL 컴퓨터에 대한 고급 데이터 보안에 대해 자세히 알아보세요.

Log Analytics 에이전트를 Azure Arc 컴퓨터에 배포하기 위한 두 가지 새 추천 사항(미리 보기)

Log Analytics 에이전트를 Azure Arc 컴퓨터에 배포하고 Azure Security Center에서 보호하도록 하는 데 도움이 되는 두 가지 추천 사항이 새로 추가되었습니다.

  • Windows 기반 Azure Arc 컴퓨터에 Log Analytics 에이전트를 설치해야 함(미리 보기)
  • Linux 기반 Azure Arc 컴퓨터에 Log Analytics 에이전트를 설치해야 함(미리 보기)

이러한 새 추천 사항은 기존(관련) 추천 사항(컴퓨터에 모니터링 에이전트를 설치해야 합니다. )과 동일한 네 가지 보안 제어(보안 구성 수정, 적응형 애플리케이션 제어 적용, 시스템 업데이트 적용 및 엔드포인트 보호 사용)에 나타납니다.

또한 추천 사항에는 배포 프로세스 속도를 높이는 데 도움이 되는 빠른 수정 기능도 포함됩니다.

이러한 두 가지 새 추천 사항에 대해 컴퓨팅 및 앱 추천 사항 표에서 자세히 알아보세요.

Azure Security Center에서 에이전트를 사용하는 방법에 대해 Log Analytics 에이전트는 무엇인가요?에서 자세히 알아보세요.

Azure Arc 컴퓨터용 확장에 대해 자세히 알아보세요.

연속 내보내기 및 워크플로 자동화 구성을 규모에 맞게 만들기 위한 새 정책

조직의 모니터링 및 인시던트 대응 프로세스를 자동화하면 보안 인시던트를 조사하고 완화하는 데 걸리는 시간을 크게 향상시킬 수 있습니다.

자동화 구성을 조직 전체에 배포하려면 다음과 같은 기본 제공 'DeployIfdNotExist' Azure 정책을 사용하여 연속 내보내기워크플로 자동화 프로시저를 만들고 구성합니다.

정책 정의는 Azure Policy에서 찾을 수 있습니다.

목표 정책 정책 ID
Event Hubs로 연속 내보내기 Azure Security Center 경고 및 권장 사항에 대한 Event Hub로 내보내기 배포 cdfcce10-4578-4ecd-9703-530938e4abcb
Log Analytics 작업 영역으로 연속 내보내기 Azure Security Center 경고 및 권장 사항에 대한 Log Analytics 작업 영역으로 내보내기 배포 ffb6f416-7bd2-4488-8828-56585fef2be9
보안 경고에 대한 워크플로 자동화 Azure Security Center 경고에 대한 워크플로 자동화 배포 f1525828-9a90-4fcf-be48-268cdd02361e
보안 추천 사항에 대한 워크플로 자동화 Azure Security Center 권장 사항에 대한 워크플로 자동화 배포 73d6ab6c-2475-4850-afd6-43795f3492ef

워크플로 자동화 템플릿을 시작합니다.

제공된 정책을 사용하여 대규모 워크플로 자동화 구성연속 내보내기 설정에서 두 가지 내보내기 정책 사용에 대해 자세히 알아봅니다.

NSG를 사용하여 인터넷에 연결되지 않은 가상 머신을 보호하기 위한 새 추천 사항

"보안 모범 사례 구현" 보안 제어에는 이제 다음과 같은 새 추천 사항이 포함됩니다.

  • 네트워크 보안 그룹을 사용하여 비인터넷 연결 가상 머신을 보호해야 함

네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함이라는 기존 추천 사항은 VM을 대상으로 하는 인터넷 연결 VM과 인터넷에 연결되지 않은 VM을 구분하지 않았습니다. 두 경우 모두에서 VM이 네트워크 보안 그룹에 할당되지 않은 경우 높은 심각도 추천 사항이 생성되었습니다. 이 새 추천 사항은 인터넷에 연결되지 않은 머신을 분리하여 가양성을 줄이고 불필요한 높은 심각도 경고를 방지합니다.

네트워크 추천 사항 표에서 자세히 알아보세요.

위협 방지 및 고급 데이터 보안을 사용하도록 설정하기 위한 새 정책

아래의 새 정책 정의는 ASC 기본 이니셔티브에 추가되었으며, 관련 리소스 종류에 대한 위협 방지 또는 고급 데이터 보안을 지원하도록 설계되었습니다.

정책 정의는 Azure Policy에서 찾을 수 있습니다.

정책 정책 ID
Azure SQL Database 서버에서 Advanced Data Security를 사용하도록 설정해야 함 7fe3b40f-802b-4cdd-8bd4-fd799c948cc2
머신의 SQL 서버에서 Advanced Data Security를 사용하도록 설정해야 함 6581d072-105e-4418-827f-bd446d56421b
Azure Storage 계정에서 지능형 위협 방지를 사용하도록 설정해야 함 308fbb08-4ab8-4e67-9b29-592e93fb94fa
Azure Key Vault 자격 증명 모음에서 지능형 위협 방지를 사용하도록 설정해야 함 0e6763cc-5078-4e64-889d-ff4d9a839047
Azure App Service 계획에서 지능형 위협 방지를 사용하도록 설정해야 함 2913021d-f2fd-4f3d-b958-22354e2bdbcb
Azure Container Registry 레지스트리에서 지능형 위협 방지를 사용하도록 설정해야 함 c25d9a16-bc35-4e15-a7e5-9db606bf9ed4
Azure Kubernetes Service 클러스터에서 지능형 위협 방지를 사용하도록 설정해야 함 523b5cd1-3e23-492f-a539-13118b6d1e3a
Virtual Machines에서 지능형 위협 방지를 사용하도록 설정해야 함 4da35fc9-c9e7-4960-aec9-797fe7d9051d

Azure Security Center의 위협 방지에 대해 자세히 알아보세요.

2020년 5월

5월의 업데이트는 다음과 같습니다.

중복된 경고 제거 규칙(미리 보기)

이 새로운 기능(현재 미리 보기 상태)은 경고 피로를 줄이는 데 도움이 됩니다. 규칙을 사용하여 조직 내 정상적인 작업에 무해하거나 관련이 있는 것으로 알려진 경고를 자동으로 숨깁니다. 이렇게 하면 가장 관련성이 높은 위협에 집중할 수 있습니다.

활성화된 중복된 경고 제거 규칙과 일치하는 경고는 계속 생성되지만 해당 상태는 해제됨으로 설정됩니다. Azure Portal에서 상태를 보거나 Security Center 보안 경고에 액세스할 수 있습니다.

중복된 경고 제거 규칙은 경고를 자동으로 해제할 조건을 정의합니다. 일반적으로 다음과 같은 경우에는 중복된 경고 제거 규칙을 사용합니다.

  • 거짓 긍정으로 식별한 경고를 표시 안 함

  • 너무 자주 트리거되는 경고를 표시 안 함

Azure Security Center의 위협 방지에서 경고 표시 안 함에 대해 자세히 알아보세요.

공급되는 가상 머신 취약성 평가 일반 공급

가상 머신에 대한 통합 취약성 평가가 이제 Security Center의 표준 계층에 추가 비용 없이 포함됩니다. 이 확장은 Qualys에서 제공하지만 검색 결과를 다시 Security Center에 보고합니다. Qualys 라이선스 또는 Qualys 계정이 필요하지 않습니다. 모든 항목이 Security Center 내에서 원활하게 처리됩니다.

새 솔루션은 가상 머신을 지속적으로 스캔하여 취약성을 찾고 Security Center에 검색 결과를 제공할 수 있습니다.

솔루션을 배포하려면 새 보안 권장 사항을 사용합니다.

"가상 머신에서 기본 제공 취약성 평가 솔루션 사용(Qualys에서 제공)"

가상 머신에 대한 Security Center의 통합 취약성 평가에 대해 자세히 알아보세요.

JIT(just-in-Time) VM(가상 머신) 액세스의 변경 사항

Security Center에는 VM의 관리 포트를 보호하는 선택적 기능이 포함되어 있습니다. 이는 가장 일반적인 형태의 무차별 암호 대입 공격에 대한 방어를 제공합니다.

이 업데이트는 이 기능을 다음과 같이 변경합니다.

  • VM에서 JIT를 사용하도록 설정하라는 권장 사항의 이름이 변경되었습니다. 이전의 "가상 머신에서 Just-In-Time 네트워크 액세스 제어를 적용해야 함"은 이제 다음과 같습니다. "가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함".

  • 추천 사항은 열린 관리 포트가 있는 경우에만 트리거됩니다.

JIT 액세스 기능에 대해 자세히 알아보세요.

사용자 지정 권장 사항이 별도의 보안 컨트롤로 이동됨

향상된 보안 점수와 함께 도입된 보안 제어 중 하나는 "보안 모범 사례 구현"이었습니다. 구독에 대해 생성된 사용자 지정 권장 사항은 자동으로 해당 컨트롤에 배치되었습니다.

사용자 지정 권장 사항을 더 쉽게 찾을 수 있도록 이를 전용 보안 컨트롤인 "사용자 지정 권장 사항"으로 이동했습니다. 이 컨트롤은 보안 점수에 영향을 미치지 않습니다.

Azure Security Center에서 향상된 보안 점수(미리 보기)의 보안 컨트롤에 대해 자세히 알아보세요.

설정/해제가 컨트롤의 권장 사항 보기에 또는 단순 목록으로 추가됨

보안 컨트롤은 관련된 보안 권장 사항의 논리적 그룹입니다. 취약한 공격 노출 영역을 반영합니다. 컨트롤은 이러한 권장 사항을 구현하는 데 도움이 되는 지침을 포함하는 보안 권장 사항 집합입니다.

조직이 각 개별 공격 노출 영역을 얼마나 잘 보호하고 있는지 즉시 확인하려면 각 보안 컨트롤의 점수를 검토합니다.

기본적으로 권장 사항은 보안 컨트롤에 표시됩니다. 이 업데이트에서는 목록으로 표시할 수도 있습니다. 영향을 받는 리소스의 상태를 기준으로 정렬된 간단한 목록으로 표시하려면 새 ' 컨트롤 그룹화' 토글을 사용합니다. 토글은 포털의 목록 상단에 있습니다.

보안 컨트롤 및 이 토글은 새로운 보안 점수 환경의 일부입니다. 포털 내에서 사용자 의견을 보내 주시기 바랍니다.

Azure Security Center에서 향상된 보안 점수(미리 보기)의 보안 컨트롤에 대해 자세히 알아보세요.

추천 사항에 대한 제어를 기준으로 그룹화 설정/해제

확장된 보안 컨트롤 "보안 모범 사례 구현"

향상된 보안 점수와 함께 도입된 보안 제어 중 하나는 "보안 모범 사례 구현"입니다. 이 컨트롤에 권장 사항이 있으면 보안 점수에 영향을 주지 않습니다.

이 업데이트를 사용하면 세 가지 권장 사항이 원래 배치된 컨트롤에서 이 모범 사례 제어로 이동했습니다. 이러한 세 가지 권장 사항에 대한 위험이 처음에 생각된 것보다 낮은 것으로 판단했기 때문에 이 단계를 수행했습니다.

또한 이 컨트롤에는 두 가지 새로운 권장 사항이 도입되어 추가되었습니다.

이동한 세 가지 권장 사항은 다음과 같습니다.

  • 구독에 대한 읽기 권한이 있는 계정에서 MFA를 사용하도록 설정해야 합니다(원래 "MFA 사용" 컨트롤).
  • 읽기 권한이 있는 외부 계정을 구독에서 제거해야 합니다(원래 "액세스 및 권한 관리" 컨트롤).
  • 구독에 대해 최대 3명의 소유자를 지정해야 합니다(원래 "액세스 및 권한 관리" 컨트롤).

컨트롤에 추가된 두 가지 새로운 권장 사항은 다음과 같습니다.

  • Windows Virtual Machines에 게스트 구성 확장을 설치해야 함(미리 보기) - Azure Policy 게스트 구성을 사용하면 가상 머신 내에서 서버 및 애플리케이션 설정에 대한 가시성을 제공합니다(Windows만 해당).

  • Windows Defender Exploit Guard를 머신에서 사용하도록 설정해야 함(미리 보기) - Windows Defender Exploit Guard는 Azure Policy 게스트 구성 에이전트를 활용합니다. Exploit Guard에는 다양한 공격 벡터에 대해 디바이스를 잠그고 맬웨어 공격에서 일반적으로 사용되는 동작을 차단하면서 기업에서 보안 위험과 생산성 요구 사항 사이의 균형을 맞출 수 있도록 설계된 네 가지 구성 요소가 있습니다(Windows에만 해당).

Exploit Guard 정책 만들기 및 배포에서 Windows Defender Exploit Guard에 대해 자세히 알아보세요.

향상된 보안 점수(미리 보기)의 보안 제어에 대해 자세히 알아보세요.

이제 일반 공급되는 사용자 지정 메타데이터가 포함된 사용자 지정 정책

사용자 지정 정책은 이제 Security Center 권장 사항 환경, 보안 점수 및 규정 준수 표준 대시보드의 일부입니다. 이 기능은 이제 일반 공급되며, Security Center에서 조직의 보안 평가 적용 범위를 확장할 수 있습니다.

Azure Policy에서 사용자 지정 이니셔티브를 만들고, 여기에 정책을 추가하고 Azure Security Center에 온보딩하고, 권장 사항으로 시각화합니다.

이제 사용자 지정 권장 구성 메타데이터를 편집하는 옵션도 추가했습니다. 메타데이터 옵션에는 심각도, 수정 단계, 위협 정보 등이 포함됩니다.

세부 정보를 사용하여 사용자 지정 권장 사항 향상에 대해 자세히 알아보세요.

파일리스 공격 탐지로 마이그레이션하는 크래시 덤프 분석 기능

Microsoft는 CDA(Windows 크래시 덤프 분석) 탐지 기능을 파일리스 공격 탐지에 통합하고 있습니다. 파일리스 공격 탐지 분석은 Windows 컴퓨터에 대해 다음과 같은 보안 경고의 향상된 버전을 제공합니다. 코드 주입 검색됨, 모조 Windows 모듈 탐지됨, 셸 코드 검색됨 및 의심스러운 코드 세그먼트 탐지됨.

이러한 전환의 이점 중 일부는 다음과 같습니다.

  • 사전 예방적이고 시기 적절한 맬웨어 탐지 - 작동 중단이 발생할 때까지 기다린 다음, 분석을 실행하여 악성 아티팩트를 찾는 데 관련된 CDA 접근 방법입니다. 파일리스 공격 탐지를 사용하면 실행되는 동안 메모리 내 위협이 사전 예방적으로 식별됩니다.

  • 보강 경고 - 파일리스 공격 탐지의 보안 경고에는 CDA에서 사용할 수 없는 강화(예: 활성 네트워크 연결 정보)가 포함됩니다.

  • 경고 집계 - CDA는 단일 크래시 덤프 내에서 여러 공격 패턴을 탐지한 경우 여러 보안 경고를 트리거했습니다. 파일리스 공격 탐지는 동일한 프로세스에서 식별된 모든 공격 패턴을 단일 경고로 결합하여 여러 경고를 상호 연결할 필요가 없도록 합니다.

  • Log Analytics 작업 영역에 대한 요구 사항 감소 - 잠재적으로 중요한 데이터가 포함된 크래시 덤프는 Log Analytics 작업 영역에 더 이상 업로드되지 않습니다.

2020년 4월

4월의 업데이트는 다음과 같습니다.

이제 일반 공급되는 동적 규정 준수 패키지

Azure Security Center 규제 준수 대시보드에는 이제 추가 산업 및 규제 표준을 추적하는 동적 규정 준수 패키지(현재 일반 공급)가 포함되어 있습니다.

Security Center 보안 정책 페이지에서 구독 또는 관리 그룹에 동적 규정 준수 패키지를 추가할 수 있습니다. 표준 또는 벤치 마크를 온보딩하면 규정 준수 대시보드에 평가로 매핑된 모든 관련 준수 데이터가 포함된 표준이 표시됩니다. 온보딩된 표준에 대한 요약 보고서는 다운로드할 수 있습니다.

이제 다음과 같은 표준을 추가할 수 있습니다.

  • NIST SP 800-53 R4
  • SWIFT CSP CSCF-v2020
  • 영국 공식 및 영국 NHS
  • 캐나다 연방 PBMM
  • Azure CIS 1.1.0(신규) (Azure CIS 1.1.0을 보다 완벽하게 표현)

또한 최근 일반 준수 프레임워크를 기반으로 하는 보안 및 규정 준수 모범 사례에 대해 Microsoft에서 작성한 Azure 관련 지침인 Azure 보안 벤치마크를 추가했습니다. 추가 표준은 사용할 수 있게 되면 대시보드에서 지원될 예정입니다.

규정 준수 대시보드의 표준 집합 사용자 지정에 대해 자세히 알아보세요.

이제 Azure Security Center 무료 계층에 포함되는 ID 권장 사항

Azure Security Center 무료 계층에 대한 ID 및 액세스에 대한 보안 권장 사항이 이제 일반 공급됩니다. 이는 CSPM(클라우드 보안 상태 관리) 기능을 무료로 제공하는 노력의 일부입니다. 지금까지 이러한 권장 사항은 표준 가격 책정 계층에서만 사용할 수 있었습니다.

ID 및 액세스 권장 사항의 예는 다음과 같습니다.

  • "구독에 대한 소유자 권한이 있는 계정에 대해 다단계 인증을 사용하도록 설정해야 합니다."
  • "구독에 대해 최대 3명의 소유자를 지정해야 합니다."
  • "더 이상 사용되지 않는 계정은 구독에서 제거해야 합니다."

무료 가격 책정 계층에 대한 구독이 있는 경우 해당 보안 점수는 ID 및 액세스 보안에 대해 평가하지 않았기 때문에 이 변경의 영향을 받습니다.

ID 및 액세스 권장 사항에 대해 자세히 알아보세요.

구독에 대한 MFA(다단계 인증) 적용 관리에 대해 자세히 알아보세요.

2020년 3월

3월의 업데이트는 다음과 같습니다.

이제 일반 공급되는 워크플로 자동화

Azure Security Center의 워크플로 자동화 기능이 이제 일반 공급됩니다. 이를 사용하여 보안 경고 및 권장 사항에 대한 Logic Apps를 자동으로 트리거합니다. 또한 빠른 수정 옵션을 사용할 수 있는 경고 및 모든 권장 사항에 대해 수동 트리거를 사용할 수 있습니다.

모든 보안 프로그램에는 인시던트 응답을 위한 여러 워크플로가 포함되어 있습니다. 이러한 프로세스에는 관련 이해 관계자에게 알리고, 변경 관리 프로세스를 시작하고, 특정 수정 단계를 적용하는 것이 포함될 수 있습니다. 보안 전문가는 가능한 한 해당 절차의 여러 단계를 자동화할 것을 권장합니다. 자동화는 오버헤드를 줄이고 프로세스 단계가 미리 정의된 요구 사항에 따라 빠르고 일관되게 수행되도록 하여 보안을 향상시킬 수 있습니다.

워크플로를 실행하기 위한 자동 및 수동 Security Center 기능에 대한 자세한 내용은 워크플로 자동화를 참조하세요.

Logic Apps 만들기에 대해 자세히 알아보세요.

Windows Admin Center와 Azure Security Center 통합

이제 Windows Admin Center에서 Azure Security Center로 온-프레미스 Windows 서버를 바로 이동할 수 있습니다. 그러면 Security Center는 온-프레미스 서버, 가상 머신 및 추가 PaaS 워크로드를 포함하여 모든 Windows Admin Center 리소스에 대한 보안 정보를 볼 수 있는 단일 창이 됩니다.

Windows Admin Center에서 Azure Security Center로 서버를 이동한 후 다음을 수행할 수 있습니다.

  • Windows Admin Center의 Security Center 확장에서 보안 경고 및 권장 사항을 확인합니다.
  • 보안 상태를 확인하고 Azure Portal 또는 API를 통해 Security Center에서 Windows Admin Center 관리 서버에 대한 추가 세부 정보를 검색합니다.

Windows Admin Center와 Azure Security Center를 통합하는 방법에 대해 자세히 알아보세요.

Azure Kubernetes Service에 대한 보호

Azure Security Center는 AKS(Azure Kubernetes Service)를 보호하기 위해 컨테이너 보안 기능을 확장하고 있습니다.

널리 사용되는 오픈 소스 플랫폼 Kubernetes는 이제 컨테이너 오케스트레이션에 대한 업계 표준으로 널리 채택되고 있습니다. 이러한 광범위한 구현에도 불구하고, Kubernetes 환경을 보호하는 방법에 대한 이해가 부족합니다. 컨테이너화된 애플리케이션의 공격 노출 영역을 방어하려면 인프라가 안전하게 구성되고 잠재적 위협에 대해 지속적으로 모니터링되도록 하는 전문 지식이 필요합니다.

Security Center 방어에는 다음이 포함됩니다.

  • 검색 및 가시성 - Security Center에 등록된 구독 내에서 관리되는 AKS 인스턴스를 지속적으로 검색합니다.
  • 보안 권장 사항 - AKS에 대한 보안 모범 사례를 준수하는 데 도움이 되는 실행 가능한 권장 사항입니다. 이러한 권장 사항은 조직의 보안 상태의 일부로 표시되도록 보안 점수에 포함됩니다. AKS 관련 권장 사항의 예는 "역할 기반 액세스 제어를 사용하여 Kubernetes 서비스 클러스터에 대한 액세스를 제한해야 합니다"를 참조하세요.
  • 위협 방지 - AKS 배포에 대한 지속적인 분석을 통해 Security Center는 호스트 및 AKS 클러스터 수준에서 탐지된 위협 및 악의적인 활동을 경고합니다.

Security Center와 Azure Kubernetes Services 통합에 대해 자세히 알아보세요.

Security Center의 컨테이너 보안 기능에 대해 자세히 알아보세요.

Just-in-Time 환경 개선

관리 포트를 보호하는 Azure Security Center의 Just-in-Time 도구의 기능, 작업 및 UI는 다음과 같이 향상되었습니다.

  • 양쪽 맞춤 필드 - Azure Portal의 Just-in-Time 페이지를 통해 VM(가상 머신)에 대한 액세스를 요청할 때 새 선택적 필드를 사용하여 요청에 대한 근거를 입력할 수 있습니다. 이 필드에 입력한 정보는 활동 로그에서 추적할 수 있습니다.
  • 중복된 JIT(Just-in-Time) 규칙 자동 정리 - JIT 정책을 업데이트할 때마다 정리 도구가 자동으로 실행되어 전체 규칙 집합의 유효성을 검사합니다. 이 도구는 정책의 규칙과 NSG의 규칙 간 불일치를 검색합니다. 정리 도구에서 불일치를 발견하면 원인을 확인하고 안전한 경우 더 이상 필요하지 않은 기본 제공 규칙을 제거합니다. 클리너는 만든 규칙을 삭제하지 않습니다.

JIT 액세스 기능에 대해 자세히 알아보세요.

사용되지 않는 웹 애플리케이션에 대한 두 가지 보안 권장 사항

사용되지 않는 웹 애플리케이션에 대한 두 가지 보안 권장 사항은 다음과 같습니다.

  • IaaS NSG의 웹 애플리케이션에 대한 규칙을 강화해야 합니다. (관련 정책: IaaS의 웹 애플리케이션에 대한 NSG 규칙을 강화해야 합니다.)

  • App Services에 대한 액세스를 제한해야 합니다. (관련 정책: App Services에 대한 액세스를 제한해야 합니다[미리 보기].)

이러한 권장 사항은 Security Center 권장 사항 목록에 더 이상 표시되지 않습니다. 관련 정책은 "Security Center 기본값"이라는 이니셔티브에 더 이상 포함되지 않습니다.

보안 권장 사항에 대해 자세히 알아보세요.

2020년 2월

Linux에 대한 파일리스 공격 탐지(미리 보기)

공격자가 더 은밀한 방법을 사용하여 탐지를 방지하려고 함에 따라 Azure Security Center는 Windows 뿐만 아니라 Linux에 대한 파일리스 공격 탐지 기능을 확장하고 있습니다. 파일리스 공격은 소프트웨어 취약성을 이용하고, 악성 페이로드를 무해한 시스템 프로세스에 주입하며 메모리에 숨습니다. 이러한 기술은 다음과 같습니다.

  • 디스크에서 맬웨어 추적 최소화 또는 제거
  • 디스크 기반 맬웨어 검색 솔루션으로 검색 가능성을 크게 줄임

이 위협에 대처하기 위해 Azure Security Center는 2018년 10월에 파일리스 공격 탐지 기능을 릴리스했으며, Linux에 대해서도 파일리스 공격 탐지 기능을 확장했습니다.

2020년 1월

보안 점수 향상(미리 보기)

이제 Azure Security Center의 향상된 버전의 보안 점수 기능이 미리 보기에서 제공됩니다. 이 버전에서 여러 권장 사항은 취약한 공격 노출 영역을 더 잘 반영하는 보안 컨트롤로 그룹화되어 있습니다(예: 관리 포트에 대한 액세스 제한).

미리 보기 단계에서 보안 점수 변경을 숙지하고 환경을 보다 안전하게 보호하는 데 도움이 되는 다른 수정을 결정합니다.

향상된 보안 점수(미리 보기)에 대해 자세히 알아보세요.

2019년 11월

11월의 업데이트는 다음과 같습니다.

북아메리카 지역의 Azure Key Vault에 대한 위협 방지(미리 보기)

Azure Key Vault는 클라우드에서 키, 비밀, 암호화 키 및 정책을 중앙에서 관리하는 기능을 제공하여 데이터를 보호하고 클라우드 애플리케이션의 성능을 향상시키는 데 필수적인 서비스입니다. Azure Key Vault는 중요한 데이터와 중요 비즈니스용 데이터를 저장하므로 키 자격 증명 모음 및 여기에 저장된 데이터에 대한 보안을 최대화해야 합니다.

Azure Key Vault에 대한 위협 방지를 지원하는 Azure Security Center는 키 자격 증명 모음에 액세스하거나 악용하려는 비정상적인 잠재적 유해 시도를 감지하는 추가 보안 인텔리전스 계층을 제공합니다. 이 새로운 보호 계층을 통해 고객은 보안 전문가가 되거나 보안 모니터링 시스템을 관리하지 않고도 키 자격 증명 모음에 대한 위협을 해결할 수 있습니다. 이 기능은 북아메리카 지역에서 공개 미리 보기로 제공됩니다.

Azure Storage에 대한 위협 방지에 맬웨어 평판 차단 포함

Azure Storage에 대한 위협 방지는 해시 평판 분석 및 활성 Tor 종료 노드(프록시 익명화)로부터의 의심스러운 액세스를 사용하여 Azure Storage에 맬웨어 업로드를 탐지하기 위해 Microsoft Threat Intelligence에서 제공하는 새로운 탐지 기능을 제공합니다. 이제 Azure Security Center를 사용하여 스토리지 계정에서 검색된 맬웨어를 볼 수 있습니다.

Logic Apps로 워크플로 자동화(미리 보기)

중앙에서 관리되는 보안 및 IT/운영을 보유한 조직은 내부 워크플로 프로세스를 구현하여 환경에서 불일치가 발견될 때 조직 내에서 필요한 작업을 수행합니다. 대부분의 경우 이러한 워크플로는 반복 가능한 프로세스이며 자동화는 조직 내의 프로세스를 대폭 간소화할 수 있습니다.

고객이 Azure Logic Apps를 활용하는 자동화 구성을 만들고 권장 사항 또는 경고와 같은 특정 ASC 결과에 따라 자동으로 트리거하는 정책을 만들 수 있도록 하는 Security Center의 새로운 기능을 소개하겠습니다. Azure Logic App은 다양한 Logic App 커넥터 커뮤니티에서 지원하는 모든 사용자 지정 작업을 수행하거나, 이메일 보내기 또는 ServiceNow™ 티켓 열기와 같은 Security Center에서 제공하는 템플릿 중 하나를 사용하도록 구성할 수 있습니다.

워크플로를 실행하기 위한 자동 및 수동 Security Center 기능에 대한 자세한 내용은 워크플로 자동화를 참조하세요.

Logic Apps를 만드는 방법에 대한 자세한 내용은 Azure Logic Apps를 참조하세요.

대량 리소스에 대한 빠른 수정 일반 공급

Secure Score의 일부로 사용자에게 제공되는 많은 작업으로 인해 대규모 문제를 효과적으로 해결하는 기능이 어려워질 수 있습니다.

보안 구성 오류 수정을 간소화하고 대량의 리소스에 대한 권장 사항을 빠르게 수정하고 보안 점수를 향상할 수 있도록 하려면 빠른 수정 재구성을 사용합니다.

이 작업을 통해 수정을 적용하려는 리소스를 선택하고 사용자 대신 설정을 구성하는 수정 작업을 시작할 수 있습니다.

빠른 수정은 현재 고객에게 Security Center 권장 사항 페이지의 일부로 일반 공급됩니다.

보안 권장 사항에 대한 참조 가이드에서 빠른 수정이 사용하도록 설정된 권장 사항을 확인하세요.

취약성에 대한 컨테이너 이미지 검사(미리 보기)

이제 Azure Security Center는 Azure Container Registry의 컨테이너 이미지의 취약성을 검사할 수 있습니다.

이미지 검사는 컨테이너 이미지 파일을 구문 분석한 다음 알려진 취약성이 있는지 확인하는 방식으로 작동합니다(Qualys 제공).

검사 자체는 Azure Container Registry에 새 컨테이너 이미지를 푸시할 때 자동으로 트리거됩니다. 발견된 취약성은 Security Center 권장 사항으로 나타나고 허용되는 공격 표면을 줄이기 위해 패치하는 방법에 대한 정보와 함께 Secure Score에 포함됩니다.

추가 규정 준수 표준(미리 보기)

규정 준수 대시보드는 Security Center 평가를 기반으로 규정 준수 태세에 대한 인사이트를 제공합니다. 이 대시보드는 환경이 특정 규제 표준 및 업계 벤치마크에서 지정한 제어 및 요구 사항을 준수하는 방법을 보여 주고 이러한 요구 사항을 해결하는 방법에 대한 규범적인 권장 사항을 제공합니다.

규정 준수 대시보드는 다음 네 가지 기본 제공 표준을 지원했습니다. Azure CIS 1.1.0, PCI-DSS, ISO 27001 및 SOC-TSP. 이제 다음과 같은 지원되는 추가 표준의 공개 미리 보기 릴리스를 발표합니다. NIST SP 800-53 4, SWIFT CSP CSCF v2020, 캐나다 연방 PBMM 및 영국 공식과 영국 NHS. 또한 표준에서 더 많은 제어를 제공하고 확장성을 개선하는 Azure CIS 1.1.0의 업데이트된 버전을 릴리스합니다.

규정 준수 대시보드의 표준 집합을 사용자 지정하는 방법에 대해 자세히 알아봅니다.

Azure Kubernetes Service에 대한 위협 방지(미리 보기)

Kubernetes는 클라우드에서 소프트웨어를 배포하고 관리하기 위한 새로운 표준으로 빠르게 자리 잡고 있습니다. Kubernetes에 대한 풍부한 경험을 가지고 있는 사람은 거의 없으며 일반적으로 일반 엔지니어링 및 관리에만 중점을 두고 보안 측면을 간과하는 사람들이 많습니다. Kubernetes 환경을 안전하게 구성하여, 컨테이너에 초점을 맞춘 공격 표면 도어가 공격자에게 노출되지 않도록 해야 합니다. Security Center는 Azure에서 가장 빠르게 성장하는 서비스 중 하나인 AKS(Azure Kubernetes Service)로 컨테이너 공간의 지원을 확장하고 있습니다.

이 공개 미리 보기 릴리스의 새로운 기능은 다음과 같습니다.

  • 검색 & 표시 유형 - Security Center의 등록된 구독 내에서 관리되는 AKS 인스턴스를 지속적으로 검색합니다.
  • 보안 점수 권장 사항 - 고객이 AKS에 대한 보안 모범 사례를 준수하고 보안 점수를 높이는 데 도움이 되는 실행 가능한 항목입니다. 권장 사항에는 "역할 기반 액세스 제어를 사용하여 Kubernetes Service 클러스터에 대한 액세스를 제한해야 합니다."와 같은 항목이 포함됩니다.
  • 위협 탐지 - "권한 있는 컨테이너 탐지"와 같은 호스트 및 클러스터 기반 분석입니다.

가상 머신 취약성 평가(미리 보기)

가상 머신에 설치된 애플리케이션에는 가상 머신의 위험으로 이어질 수 있는 취약성이 있을 수 있습니다. Security Center 표준 계층에는 추가 비용 없이 가상 머신에 대한 기본 제공 취약성 평가가 포함되어 있습니다. 공개 미리 보기에서 Qualys가 제공하는 취약성 평가를 통해 가상 머신에 설치된 모든 애플리케이션을 지속적으로 검사하여 취약한 애플리케이션을 찾고 Security Center 포털의 환경에 대한 결과를 제공할 수 있습니다. Security Center는 모든 배포 작업을 처리하므로 사용자의 추가 작업이 필요하지 않습니다. 향후 고객의 고유한 비즈니스 요구 사항을 지원하기 위한 취약성 평가 옵션을 제공할 계획입니다.

Azure Virtual Machines에 대한 취약성 평가에 대해 자세히 알아보세요.

Azure Virtual Machines의 SQL Server에 대한 고급 데이터 보안(미리 보기)

IaaS VM에서 실행되는 SQL DB에 대한 위협 방지 및 취약성 평가에 대한 Azure Security Center 지원은 현재 미리 보기로 제공됩니다.

취약성 평가는 잠재적인 데이터베이스 취약성을 검색, 추적 및 수정할 수 있는 서비스를 간편하게 구성합니다. Secure Score의 일부로 보안 태세에 대한 가시성을 제공하고, 보안 문제를 해결하고 데이터베이스 보안을 강화하는 단계를 포함합니다.

Advanced Threat Protection은 비정상적이며 잠재적으로 유해할 수 있는 SQL Server 액세스 또는 악용 시도를 나타내는 비정상적인 활동을 검색합니다. 데이터베이스에서 의심스러운 활동을 지속적으로 모니터링하고 비정상적인 데이터베이스 액세스 패턴에 대해 작업 지향 보안 경고를 제공합니다. 이러한 경고는 의심스러운 활동 세부 정보와 위협을 조사하고 완화하기 위한 권장 조치를 제공합니다.

사용자 지정 정책 지원(미리 보기)

Azure Security Center에서 이제 사용자 지정 정책을 지원합니다(미리 보기).

고객은 Azure Policy에서 만든 정책을 기반으로 자체 보안 평가를 사용하여 Security Center의 현재 보안 평가 범위를 확장했습니다. 사용자 지정 정책에 대한 지원을 통해 이제 이 기능을 사용할 수 있습니다.

이러한 새 정책은 Security Center 권장 사항 환경, Secure Score 및 규정 준수 표준 대시보드에 포함됩니다. 사용자 지정 정책 지원을 통해 이제 Azure Policy에서 사용자 지정 이니셔티브를 만든 다음, Security Center에서 정책으로 추가하고 권장 사항으로 시각화할 수 있습니다.

커뮤니티 및 파트너를 위한 플랫폼으로 Azure Security Center 적용 범위 확장

Security Center를 사용하면 Microsoft뿐만 아니라 Check Point, Tenable 및 CyberArk와 같은 파트너의 기존 솔루션에서 더 많은 통합이 제공되는 권장 사항을 받을 수 있습니다. Security Center의 간단한 온보딩 흐름은 기존 솔루션을 Security Center에 연결하여 보안 태세 권장 사항을 한 곳에서 확인하고, 통합 보고서를 실행하며, 기본 제공 및 파트너 권장 사항에 대한 모든 Security Center 기능을 활용할 수 있습니다. Security Center 권장 사항을 파트너 제품으로 내보낼 수 있습니다.

Microsoft 지능형 보안 연합에 대해 자세히 알아봅니다.

권장 사항 및 경고 내보내기와의 고급 통합(미리 보기)

Security Center 맨 위에서 엔터프라이즈 수준 시나리오를 사용하도록 설정하기 위해 이제 Azure Portal 또는 API를 제외하고 추가 위치에서 Security Center 경고 및 권장 사항을 사용할 수 있습니다. 이를 이벤트 허브 및 Log Analytics 작업 영역으로 직접 내보낼 수 있습니다. 다음은 이러한 새 기능을 중심으로 만들 수 있는 몇 가지 워크플로입니다.

  • Log Analytics 작업 영역으로 내보내기를 사용하면 Power BI를 사용하여 사용자 지정 대시보드를 만들 수 있습니다.
  • Event Hub로 내보내기를 사용하면 Security Center 경고 및 권장 사항을 타사 SIEM, 타사 솔루션 또는 Azure Data Explorer로 내보낼 수 있습니다.

Windows Admin Center에서 Security Center에 온-프레미스 서버 온보딩(미리 보기)

Windows Admin Center는 Azure에 배포되지 않은 Windows 서버용 관리 포털로, 백업 및 시스템 업데이트와 같은 몇 가지 Azure 관리 기능을 제공합니다. Windows 관리 센터 환경의 ASC에서 직접 보호하기 위해 이러한 비 Azure 서버를 온보딩하는 기능을 최근에 추가했습니다.

이 새로운 환경을 통해 사용자는 Azure Security Center에 WAC 서버를 온보딩하여 Windows 관리 센터 환경에서 직접 보안 경고 및 권장 사항을 볼 수 있습니다.

2019년 9월

9월의 업데이트는 다음과 같습니다.

적응형 애플리케이션 제어 향상으로 규칙 관리

적응형 애플리케이션 제어를 사용하여 가상 머신에 대한 규칙을 관리하는 환경이 개선되었습니다. Azure Security Center의 적응형 애플리케이션 제어는 가상 머신에서 실행할 수 있는 애플리케이션을 제어하는 데 도움이 됩니다. 규칙 관리의 일반적인 향상 외에도 새 혜택을 통해 새 규칙을 추가할 때 보호할 파일 형식을 제어할 수 있습니다.

적응형 애플리케이션 제어에 대해 자세히 알아봅니다.

Azure Policy를 사용하여 컨테이너 보안 권장 사항 제어

컨테이너 보안의 취약성을 해결하는 Azure Security Center 권장 사항은 이제 Azure Policy를 통해 사용하거나 사용하지 않도록 설정할 수 있습니다.

사용하도록 설정된 보안 정책을 보려면 Security Center에서 보안 정책 페이지를 엽니다.

2019년 8월

8월의 업데이트는 다음과 같습니다.

Azure Firewall에 대한 JIT(just-in-time) VM 액세스

이제 Azure Firewall에 대한 JIT(just-in-time) VM 액세스가 일반 공급됩니다. 이를 사용하여 NSG 보호 환경 외에도 Azure Firewall 보호 환경을 보호합니다.

JIT VM 액세스는 NSG 및 Azure Firewall 규칙을 사용하여 필요한 경우에만 VM에 제어된 액세스를 제공하여 네트워크 대규모 공격에 대한 노출을 줄입니다.

VM에 JIT를 사용하도록 설정하는 경우 보호될 포트, 포트가 열려 있는 상태로 유지되는 기간 및 이러한 포트에 액세스하도록 승인된 IP 주소를 결정하는 정책을 만듭니다. 이 정책은 사용자가 액세스를 요청할 때 수행할 수 있는 작업을 제어하는 데 도움이 됩니다.

요청은 Azure 활동 로그에 기록되므로 액세스를 쉽게 모니터링하고 감사할 수 있습니다. JIT(just-in-time) 페이지를 사용하면 JIT가 사용하도록 설정된 기존 VM과 JIT가 권장되는 VM을 빠르게 식별할 수 있습니다.

Azure Firewall에 대해 자세히 알아보세요.

보안 태세를 높이기 위한 단일 클릭 수정(미리 보기)

보안 점수는 워크로드 보안에 대한 사용자의 대비 상태를 평가할 수 있는 도구입니다. 이는 사용자의 보안 권장 사항을 검토하고 순위를 지정하므로 사용자는 먼저 수행할 권장 사항을 파악할 수 있습니다. 이를 통해 가장 심각한 보안 취약성을 찾아내 조사의 순위를 지정할 수 있습니다.

보안 구성 오류 수정을 간소화하고 보안 점수를 빠르게 개선할 수 있도록 한 번의 클릭으로 대량의 리소스에 대한 권장 사항을 수정할 수 있는 새로운 기능이 추가되었습니다.

이 작업을 통해 수정을 적용하려는 리소스를 선택하고 사용자 대신 설정을 구성하는 수정 작업을 시작할 수 있습니다.

보안 권장 사항에 대한 참조 가이드에서 빠른 수정이 사용하도록 설정된 권장 사항을 확인하세요.

테넌트 간 관리

Security Center는 이제 Azure Lighthouse의 일부로 교차 테넌트 관리 시나리오를 지원합니다. 이를 통해 Security Center에서 여러 테넌트의 보안 태세를 파악하고 관리할 수 있습니다.

테넌트 간 관리 환경에 대해 자세히 알아보세요.

2019년 7월

네트워크 권장 사항 업데이트

ASC(Azure Security Center)에서 새로운 네트워킹 권장 사항을 출시하고 기존 권장 사항을 개선했습니다. 이제 Security Center를 사용하면 리소스에 대해 훨씬 더 강력한 네트워킹 보호를 보장합니다.

네트워크 권장 사항에 대해 자세히 알아봅니다.

2019년 6월

적응형 네트워크 강화 - 일반 공급

공용 클라우드에서 실행되는 워크로드에 대한 가장 큰 공격 노출 영역 중 하나는 공용 인터넷과의 연결입니다. 고객은 Azure 워크로드를 필요한 원본 범위에만 사용할 수 있도록 하기 위해 어떤 NSG(네트워크 보안 그룹) 규칙을 사용해야 하는지 파악하기 어렵습니다. 이 기능을 통해 Security Center는 Azure 워크로드의 네트워크 트래픽 및 연결 패턴을 학습하고 인터넷 연결 가상 머신에 대한 NSG 규칙 권장 사항을 제공합니다. 이를 통해 고객은 네트워크 액세스 정책을 더 잘 구성하고 공격에 대한 노출을 제한할 수 있습니다.

적응형 네트워크 강화에 대해 자세히 알아봅니다.